1、juniper防火墙MVP
MIP 是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干个公网 IP 地址,又存在若干的对外提供网络服务的服务器(服务器使用私有 IP 地址),为了实现互联网用户访问这些服务器,可在 Internet 出口的防火墙上建立公网 IP 地址与服务器私有 IP 地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。
web下配置MIP:
1)登陆防火墙,将防火墙部署为三层模式(NAT或路由模式)
2)定义MIP::Network=>Interface=>ethernet2=>MIP,配置实现 MIP 的地址映射。Mapped IP:公网 IP 地址,Host IP:内网服务器 IP 地址
3)定义策略:在 POLICY 中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络服务器应用的访问。
命令行方式配置MIP:
1) 配置接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone untrust
set interface ethernet2 ip 1.1.1.1/24
2)定义MIP
set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter
trust-vr
3)定义策略
set policy from untrust to trust any mip(1.1.1.5) http permit
save
2、juniper防火墙VIP配置
MIP 是一个公网 IP 地址对应一个私有 IP 地址,是一对一的映射关系;而 VIP 是一个公网IP 地址的不同端口(协议端口如:21、25、110 等)与内部多个私有 IP 地址的不同服务端口的映射关系。通常应用在只有很少的公网 IP 地址,却拥有多个私有 IP 地址的服务器,并且,这些服务器是需要对外提供各种服务的。
使用web浏览器方式配置VIP:
1)登录防火墙,配置防火墙为三层部署模式
2)添加VIP:Network=>Interface=>ethernet2=>VIP
如有多个公网地址可以点击Virtual IP Address 192.168.1.1 Add添加VIP公网地址;然后点击New VIP Service配置映射关系
Virtual IP:指定公网IP地址
Virtual Port :指定的是公网访问端口,如果指定的是自定义端口如6899,则在策略中需要允许该端口访问
Map to Service:指定的是内网端口,可以选择自己定义的,策略中也需要放行
Map to IP:指定内网地址
Server Auto Detection: 为服务器自动检查,一般不需要开启
3)添加与该VIP公网地址相关的访问控制策略。
Action选择permit点击OK完成配置。
使用命令行方式配置VIP:
1) 配置接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2)定义VIP
set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10
3)定义策略
set policy from untrust to trust any vip(1.1.1.10) http permit
save
3、至于为什么要写这篇博客
主要是今天内网一台服务器需要映射到公网进行测试,在映射完80和8080两个端口后,发现internet网中的客户端都可以访问页面,后来发现手机端在4G网络中,不能访问,经过一段时间排查,发现是电信运营商将4G网络中的80和8080端口给封了,需要进行备案才能开发该端口,后来没办法了,想想先只是测试而已,就改端口吧。计划将80端口映射到外网88端口,8080内网端口映射到外网8099端口,配置好策略后,telnet端口不通呢?排查了老半天,发现还是配置有问题,经过多方折腾终于找到问题原因:如果需要将内网的80端口映射到外网88端口,首先需要在Policy > Policy Elements > Services > Custom下新建端口88,然后在VIP配置中外网端口改为88(Virtual Port:88),内网端口选择http(80)即可,最后一步很重要,在policy策略中修改服务(Service)点击Multiple,将创自己创建好的88好端口加进来,点击确定,大功告成!8080端口添加原理一样,只是8080端口juniper防火墙没有默认配置,需要自己创建8080内网端口号和外网指定端口号,然后将两个端口都添加到策略服务中即可,算是个小坑吧,希望对后方同志遇到同样的问题有所帮助!
本文转自 80后小菜鸟 51CTO博客,原文链接:http://blog.51cto.com/zhangxinqi/2052880
