0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

Juniper防火墙配置NAT映射的问题分析

网络技术干货圈 来源:网络技术干货圈 2024-10-29 09:55 次阅读

记录一下Juniper SSG或者ISG 系列防火墙上配置一对多NAT映射 VIP(Viritual Internet Protocol)时碰到的一个特殊的问题, 就是在内部服务器ICMP报文被阻断的情况下,启用VIP的Server Auto Enable 功能引起的NAT映射失效问题,希望可以给碰到相同问题的人一些参考。

测试平台:Juniper ISG 1000 防火墙,软件版本为 6.3.0。

遇到的问题:

任务是将内网的一台Windows服务器(IP地址:192.168.X.X)的公网出口地址更换为新的公网出口地址(IP地址:60.X.X.X),所以在出口防火墙上添加了一条新的VIP映射,将公网地址 60.X.X.X 的8080端口映射到内网服务器 192.168.X.X 的 8080端口,如下图所示:

420e9b4e-90d5-11ef-a511-92fbcf53809c.jpg

默认配置VIP时会开启Server Auto Dectection,这里就保持默认了,但是配置完成后,就直接 telnet 公网地址60.X.X.X的8080端口进行测试,发现不通。

然后就去检查服务器,服务器上发现8080端口和对应的服务状态都是正常的,直接在出口防火墙上telnet服务器192.168.X.X的8080端口也是正常的。

那就说明是对外的VIP映射出了点问题,但奇怪的是同事发现把服务器自身的防火墙关闭之后,外网就能访问到服务器的8080端口了,但是开启之后又不能访问了,这就把问题又引入另一个奇怪的方向了?服务器8080端口不管有没有关闭自身防火墙在内网一直是可以访问的,但是关闭它自身的防火墙却可以影响外网对它8080端口的访问?然后检查了服务器的防火墙,8080端口没有被阻断,也没配置任何跟它相关的安全策略。

最后再次检查了防火墙,确认了一下VIP的配置,没什么问题,只是这条VIP映射状态显示为Down,一个有经验的前辈让我把VIP的Server Auto Detection参数去掉试试,我就去掉了,然后发现通了!!!

4226b792-90d5-11ef-a511-92fbcf53809c.jpg

问题原因:

最后确认问题是Juniper ISG 防火墙配置VIP时开启了 Server Auto Detection 导致的,但以前配置的时候都是正常的,这次是因为服务器也有锅,服务器自身防火墙上出于安全考虑配置了阻断外部ICMP报文(ping)的策略,而Juniper防火墙的 Server Auto Detection自动检测功能是通过ping来检测服务器的连通性进而判断配置的VIP映射是否有效,有效则显示状态为OK,无效则显示状态为Down,如果判定为无效,数据包进来时就无法使用此映射规则了。

所以正常情况下服务器自身没有配置任何安全策略的时候,Juniper防火墙上直接配置VIP并默认开启 Server Auto Detection是不影响正常通信的,这里是因为服务器自身阻断了ICMP报文这种特殊情况,导致防火墙使用 Server Auto Detection 对该服务器进行连通性检测时失败,进而将映射到该服务器的VIP 判定为无效映射,从而无法使用映射规则进行通信,对应的映射端口自然也无法访问了。

解决办法:

针对这种问题,解决办法有两个,要么就是关闭服务器自身防火墙的阻断ICMP报文的策略,要么就是关闭防火墙VIP映射里的 Sever Auto Detection 功能,也不会影响正常通信。我这里直接关闭了VIP配置中的 Sever Auto Detection。

这里简单说一下关闭 Sever Auto Detection 的功能的两种方法,在Web界面只需在VIP配置界面,去掉 Sever Auto Detection 的勾选即可,在命令行配置VIP时,可以通过帮助信息看到,在 VIP配置后添加 manual 参数即表示关闭 Sever Auto Detection功能,通过默认参数配置的VIP都会不会添加 manual 参数。

nsisg1000-> set interface ethernet3/4 vip 60.X.X.X + 8088 "tcp-8088" 192.168.X.X ?

manual turn off server auto detection

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 服务器
    +关注

    关注

    12

    文章

    8912

    浏览量

    85022
  • 防火墙
    +关注

    关注

    0

    文章

    415

    浏览量

    35568
  • Juniper
    +关注

    关注

    1

    文章

    17

    浏览量

    11543
  • NAT
    NAT
    +关注

    关注

    0

    文章

    138

    浏览量

    16200

原文标题:关于Juniper SSG或ISG系列防火墙配置NAT映射(VIP)时的 Server Auto Enable参数问题

文章出处:【微信号:网络技术干货圈,微信公众号:网络技术干货圈】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    发现 STM32 防火墙的安全配置

    执行,但可共享。防火墙配置分析SRAM1的共享 Vs. 非共享用户手册RM0351中提到若一段SRAM1被防火墙设置为共享(VDS=1),则该区域总是可被访问,而不用去管
    发表于 07-27 11:04

    会话控制器怎么实现VoIP防火墙/ NAT穿越?

    会话控制器怎么实现VoIP防火墙/ NAT穿越?
    发表于 05-28 06:24

    防火墙交换模式和路由模式问题 到底在哪个上面做nat 精选资料分享

    防火墙交换模式和路由模式问题 到底在哪个上面做nat
    发表于 07-28 06:53

    NAT防火墙交换模式和路由模式上的问题

    防火墙交换模式是什么?防火墙路由模式又是什么?
    发表于 10-18 08:29

    防火墙技术

    防火墙技术.ppt 防火墙及相关概念包过滤型防火墙代理服务型防火墙 防火墙配置分布
    发表于 06-16 23:41 0次下载

    防火墙配置

    实验十三、防火墙配置 一. 实验原理1.1 防火墙原理网络的主要功能是向其他通信实体提供信息传输服务。网络安全技术的主
    发表于 09-24 13:55 2132次阅读
    <b class='flag-5'>防火墙</b>的<b class='flag-5'>配置</b>

    如何配置Cisco PIX防火墙

    如何配置Cisco PIX防火墙配置PIX防火墙之前,先来介绍一下防火墙的物理特性。防火墙
    发表于 01-13 13:26 579次阅读

    防火墙术语-NAT

    防火墙术语-NAT  英文原义:Network Address Translation 中文释义:网络地址转换
    发表于 02-24 10:58 741次阅读

    究竟什么是防火墙

    究竟什么是防火墙?     Q:防火墙初级入门:究竟什么是防火墙?     A:防火墙定义
    发表于 02-24 11:51 772次阅读

    运用Linux系统打造NAT防火墙的技术研究与实现

    针对因特网地址匮乏及网络安全性等问题,详细介绍了NAT技术的工作原理及其在防火墙中的应用。阐述了在Linux系统下打造NAT防火墙的设计方案和策略,并且给出了基于
    发表于 03-01 15:13 30次下载
    运用Linux系统打造<b class='flag-5'>NAT</b><b class='flag-5'>防火墙</b>的技术研究与实现

    什么是防火墙防火墙如何工作?

    防火墙是网络与万维网之间的关守,它位于网络的入口和出口。 它评估网络流量,仅允许某些流量进出。防火墙分析网络数据包头,其中包含有关要进入或退出网络的流量的信息。然后,基于防火墙
    的头像 发表于 09-30 14:35 5262次阅读

    Juniper防火墙进行配置和管理

    Juniper防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求;
    的头像 发表于 03-30 10:33 3212次阅读

    Juniper防火墙几种常用功能的配置

    这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIP、VIP和DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。
    的头像 发表于 04-03 10:52 2941次阅读

    Juniper防火墙IPSec VPN的配置

    Juniper 所有系列防火墙(除部分早期型号外)都支持 IPSec VPN,其配置方式有多种,包括:基于策略的 VPN、基于路由的 VPN、集中星形 VPN 和背靠背 VPN 等。在这里,我们主要介绍最常用的 VPN 模式:基
    的头像 发表于 04-03 11:31 3923次阅读

    东用科技与华为防火墙构建IPSec VPN配置指导手册

    、DNS服务器地址请向运营商索取):4、开启防火墙DHCP服务器:5、配置防火墙安全策略与源NAT以允许内网访问外网:6、配置点到多点IPS
    的头像 发表于 03-24 11:23 1063次阅读
    东用科技与华为<b class='flag-5'>防火墙</b>构建IPSec VPN<b class='flag-5'>配置</b>指导手册