juniper srx 240 cluster 内网服务器端口发布到外网配置实例

========================================================================================================================
-----------------------------------------内网地址端口发布到外网步骤-----------------------------------------------------
set security address-book global address IMMQI_PRIVATE 172.22.201.20/32

步骤一:创建 NAT pool
set security nat destination pool DP_TRUST_IMMQI_10089 address 172.22.201.20/32
set security nat destination pool DP_TRUST_IMMQI_10089 address port 10089

步骤二:创建 NAT Rule
set security nat destination rule-set DNAT_FROM_ISP1 rule ISP1_TCP10089_TO_IMMQI_10089 match destination-address-name WAN3001_241 -----119.145.16.241
set security nat destination rule-set DNAT_FROM_ISP1 rule ISP1_TCP10089_TO_IMMQI_10089 match destination-port 10089
set security nat destination rule-set DNAT_FROM_ISP1 rule ISP1_TCP10089_TO_IMMQI_10089 then destination-nat pool DP_TRUST_IMMQI_10089

步骤三:创建放行端口及协议类型
set applications application tcp-10089 protocol tcp
set applications application tcp-10089 destination-port 10089
set applications application tcp-10090 protocol tcp
set applications application tcp-10090 destination-port 10090

步骤四:创建区域策略,并具体匹配源地址和目标地址端口
set security policies from-zone ISP1 to-zone trust policy P_IMMQI_80_9998 match source-address any
set security policies from-zone ISP1 to-zone trust policy P_IMMQI_80_9998 match destination-address IMMQI_PRIVATE
set security policies from-zone ISP1 to-zone trust policy P_IMMQI_80_9998 match application tcp-80
set security policies from-zone ISP1 to-zone trust policy P_IMMQI_80_9998 match application tcp-9998
set security policies from-zone ISP1 to-zone trust policy P_IMMQI_80_9998 match application tcp-10089
set security policies from-zone ISP1 to-zone trust policy P_IMMQI_80_9998 then permit
set security policies from-zone ISP1 to-zone trust policy P_IMMQI_80_9998 then log session-init
set security policies from-zone ISP1 to-zone trust policy P_IMMQI_80_9998 then log session-close

步骤五:如果新建协议,则需要调整策略优先级
insert security policies from-zone Design to-zone trust policy RM-201_84-Cost-Lectra before policy DENY ----新增加策略需要检查是否需要修改策略优先级



set security address-book global address QI_PRIVATE 172.22.201.19/32

正式环境

set security nat destination pool DP_TRUST_IQCSAP_10090 address 172.22.201.19/32
set security nat destination pool DP_TRUST_IQCSAP_10090 address port 10089

ISP1电信线路

set security nat destination rule-set DNAT_FROM_ISP1 rule ISP1_TO_TRUST_IQCSAP_10090 match destination-address-name WAN3001_241
set security nat destination rule-set DNAT_FROM_ISP1 rule ISP1_TO_TRUST_IQCSAP_10090 match destination-port 10090
set security nat destination rule-set DNAT_FROM_ISP1 rule ISP1_TO_TRUST_IQCSAP_10090 then destination-nat pool DP_TRUST_IQCSAP_10090

set security policies from-zone ISP1 to-zone trust policy P_IQCSAP_10090 match source-address any
set security policies from-zone ISP1 to-zone trust policy P_IQCSAP_10090 match destination-address QI_PRIVATE
set security policies from-zone ISP1 to-zone trust policy P_IQCSAP_10090 match application tcp-10089
set security policies from-zone ISP1 to-zone trust policy P_IQCSAP_10090 then permit
set security policies from-zone ISP1 to-zone trust policy P_IQCSAP_10090 then log session-init
set security policies from-zone ISP1 to-zone trust policy P_IQCSAP_10090 then log session-close
set security policies from-zone ISP1 to-zone trust policy P_IQCSAP_10090 then count

ISP6 联通线路

set security nat destination rule-set DNAT_FROM_ISP6 rule ISP6_TO_TRUST_IQCSAP_10090 match destination-address-name WAN3006_165
set security nat destination rule-set DNAT_FROM_ISP6 rule ISP6_TO_TRUST_IQCSAP_10090 match destination-port 10090
set security nat destination rule-set DNAT_FROM_ISP6 rule ISP6_TO_TRUST_IQCSAP_10090 then destination-nat pool DP_TRUST_IQCSAP_10090

set security policies from-zone ISP6 to-zone trust policy P_IQCSAP_10090 match source-address any
set security policies from-zone ISP6 to-zone trust policy P_IQCSAP_10090 match destination-address QI_PRIVATE
set security policies from-zone ISP6 to-zone trust policy P_IQCSAP_10090 match application tcp-10089
set security policies from-zone ISP6 to-zone trust policy P_IQCSAP_10090 then permit
set security policies from-zone ISP6 to-zone trust policy P_IQCSAP_10090 then log session-init
set security policies from-zone ISP6 to-zone trust policy P_IQCSAP_10090 then log session-close
set security policies from-zone ISP6 to-zone trust policy P_IQCSAP_10090 then count

insert security policies from-zone ISP6 to-zone trust policy P_IQCSAP_10090 before policy DENY



验证

{primary:node0}
[email protected]> show security flow session nat destination-port 10090
node0:

Session ID: 124271, Policy name: P_IQCSAP_10090/276, State: Backup, Timeout: 14396, Valid
In: 113.X.X.199/57104 --> X.X.X.165/10090;tcp, If: reth15.3006, Pkts: 0, Bytes: 0
Out: 172.22.201.19/10089 --> 113.X.X.199/57104;tcp, If: reth3.500, Pkts: 0, Bytes: 0
Total sessions: 1

node1:

Session ID: 140801, Policy name: P_IQCSAP_10090/276, State: Active, Timeout: 1796, Valid
In: 113.X.X.199/57104 --> X.X.X.165/10090;tcp, If: reth15.3006, Pkts: 2, Bytes: 92
Out: 172.22.201.19/10089 --> 113.X.X.199/57104;tcp, If: reth3.500, Pkts: 1, Bytes: 52
Total sessions: 1

原文地址:http://blog.51cto.com/13637805/2334618

时间: 2024-11-10 14:20:16

juniper srx 240 cluster 内网服务器端口发布到外网配置实例的相关文章

windowser server 2012 r2 8080外网访问端口发布设置

windowser server 2012 r2 8080外网访问端口发布设置,在配置服务器时候,8080端口作为默认的web访问的端口,那么如何配置呢如下步骤: 工具/原料 windowser server 2012 r2 系统的服务器 方法/步骤 1.打开电脑找到控制面板,点击控制面板 2.进入控制面板页面,点击系统和安全选项 3.进入系统安全页面,点击防火墙选项 4.进入windows防火墙面板,点击高级设置选项 5.进入高级设置选项,点击右键新建规则 6.进入规则想到页面,选择端口,点击

Juniper SRX 240 DY×××用户登录日志

Juniper srx 240 *** 动态***用户登录日志,Juniper srx 系统默认存储一周的日志量. [email protected]% cli --登录Juniper[email protected]> show log --查看日志目录total 40740-rw-r--r-- 1 root wheel 6006 Oct 22 2017 jsrpd_commit_check-rw-r----- 1 root wheel 0 Jan 1 2000 appidd-rw-r----

(转)内网网站发布到外网-nat123动态公网IP动态域名解析

环境描述: 路由器分配的是动态公网IP,且有路由器登录管理权限,网站服务器部署在路由器内部网络.如何将内网网站发布到外网大众访问? 解决方案: 内网使用nat123动态域名解析,将域名实时固定解析到路由公网IP,然后在路由器上做网站端口映射.外网访问网站时,使用动态解析域名. 实现过程: 1,明确网站内网访问地址端口,确保网站服务正常,在内网可以正常访问连接.如我内网网站访问地址是192.168.1.22:80.如果本地公网IP的80端口被屏蔽,可以更换其他网站端口,或使用nat123的80映射

非80端口的网站发布后外网访问的问题

今天在公司服务器(Windows 2008 server)上部署了两个网站,非80端口,完事后发现在外网无法访问.关闭防火墙发现OK,但是我们并不希望关闭防火墙,于是google,baidu,找到了解决方案. 控制面板=>windows防火墙=>高级设置=>窗口左侧选择"入站规则",中间选择"Branchcache内容检索(HTTP-IN)",右侧选中"新建规则",在弹出窗口中选择"端口"一项,输入端口号,下

exchange 2010 server内网邮箱突然不能收发外网邮件的问题分析解决办法

环境是,域控+exchange2010server+edge边缘服务器的邮件系统. 故障现象:某个内网邮箱以前可以收发外网邮件,现在突然不能收发外网邮件了. 故障分析:分析最近对服务器做了那些操作. 解决办法:原来是自己更改了设置,没有留意这个内网邮箱用户加了多个通讯组,通讯组有交叉,对这些通讯组设置禁止收发邮件的规则,把这个邮箱也给禁止了,增加了允许这个邮箱的邮件传输规则,故障排除.

使用花生壳把内网站点发布到外网访问

1. 在 http://www.oray.com/ 花生壳官网注册一个账户,注册完成后系统会送你一个免费域名 2. 下载花生壳2.2内网版,并且安装 3. 打开新花生壳客户端,登录后会看到这样的主界面 4. 右键你的域名,点击"新花生壳管理" 5. 点击添加映射,然后输入你的服务器信息 最后完成,这个时候你就可以访问你的域名了,它会解析到你在内网部署的这台服务器,我们就毫无压力地把自己的站点发布到外网上去了. PS: 我在实施的过程中遇到一点小问题,记录一下:就是一开始注册的账户没有开

ssh 端口转发实现外网 80 端口映射到内网 80 端口

开发中经常需要外网服务映射到本机内网服务的需要,便于调试. 以前都是同事帮着配,这两天自己也看了一下 ssh 端口转发. 同事分分钟钟搞定的事情,自己折腾了 2 天, 真是弱爆了. 最初老想不明白一件事,为什们外网服务器能够找到我的内网机器,现在才明白原来走的是 ssh 隧道. 需求我的内网机器  192.168.9.100, 我的阿里云外网 123.56.86.52,  现在需要所有对 123.56.86.52  80 端口的访问都映射到  192.168.9.100 的 80 端口. 显然 

服务器 | 服务器能访问,外网访问不了的解决办法

在使用华为云服务器的时候,域名解析了仍然访问不了,后来发现是云主机设置了白名单机制,需要把端口号加入白名单. 参考资料: 服务器能访问外网访问不了的情况,具体表现如下: 1.服务器环境启动正常,PHP探针文件可见,域名解析成功,服务器上输入域名可访问对应网站但外网无法访问. 2.本地局域网上搭建服务器环境,局域网IP已绑定,搭建环境那台机器访问正常局域网内其它机器均无法访问. 以上两种情况都是由windows自带的防火墙已开启但是没有添加80端口造成的 解决办法: 1.开始---设置---控制面

服务器添加证书后外网无法访问

好几个月不写博客了,懈怠了! 前几天在阿里云搞了个服务器https://www.czy543.top/,真是一波三折啊,本身是搞客户端的,配置服务器环境真是一步一个坑. 购买服务器.购买域名.经过各种资料提交,经历了二十多少天终于备案成功了,随便写了个hello Word的index.html, 咱的网站也算是搭建起来了,心里这个嘚瑟呀!但却发现网址是http的不安全地址,强迫症又犯了,就算咱的网站只有一句hello Word 也要搞成https安全连接,说干就干,我用的是phpstudy8.0