前回よりひき続き、SRX320を宅内ルーターとして使うため設定していきます。
前回の記事はこちら。
yokohama539.hatenablog.com
残っていたタスクの「インターネットから外部公開用サーバーへアクセスできる」ようにしていきます。
よく言うポートフォワーディングの機能を実装していきます。
今回はHTTPで応答するサーバーを外部公開したいので、TCPの80番ポートに対してLAN配下にいるサーバーへNATするようにします。
併せて、基本的にインターネットからの(Sessionが開始される)通信は破棄しているので、該当のパケットを許可します。
図に描くと以下の通りです。
では設定をしていきます。
ポートフォワーディングの設定
まず、NATの設定をしていきます。
ポイントとしては、untrust(インターネット)からtrust(LAN)方向で定義すること、我が家のグローバルIPアドレスは動的IPアドレスになるのでruleの宛先IPアドレスはAny指定にするあたりでしょうか。
ネット上に例がなかったのでこの辺は検証しながらやってみました。
set security nat destination pool NAT-POOL_SV address 192.168.1.12/32 set security nat destination pool NAT-POOL_SV address port 80 set security nat destination rule-set untrust-to-trust from zone untrust set security nat destination rule-set untrust-to-trust rule PF_SV match destination-address 0.0.0.0/0 set security nat destination rule-set untrust-to-trust rule PF_SV match destination-port 80 set security nat destination rule-set untrust-to-trust rule PF_SV then destination-nat pool NAT-POOL_SV
次に該当のパケットにおいて、untrust(インターネット)からtrust(LAN)方向のフィルタリングを許可する設定をしていきます。
ポイントとしては、許可対象の宛先IPアドレスがNAT後(サーバーのプライベート)のIPアドレスとなるところあたり。
set security zones security-zone trust address-book address ADDRESS-BOOK_SV 192.168.1.12/32 set applications application HTTP protocol tcp set applications application HTTP destination-port 80 set security policies from-zone untrust to-zone trust policy PERMIT_SV match source-address any set security policies from-zone untrust to-zone trust policy PERMIT_SV match destination-address ADDRESS-BOOK_SV set security policies from-zone untrust to-zone trust policy PERMIT_SV match application HTTP set security policies from-zone untrust to-zone trust policy PERMIT_SV then permit
設定は以上になります。
確認をしていきます。まずNAT設定の確認から。
ポート番号やNAT後のIPアドレスなど表示されてれば大丈夫でしょう(適当)
lab@SRX320# run show security nat destination summary
Total pools: 1
Pool name Address Routing Port Total
Range Instance Address
NAT-POOL_SV 192.168.1.12 - 192.168.1.12 80 1
Total rules: 1
Rule name : PF_SV
Rule set : untrust-to-trust
Action : NAT-POOL_SV
From : untrust
lab@SRX320# run show security nat destination rule PF_SV
Destination NAT rule: PF_SV
Rule set : untrust-to-trust
Rule Id : 2
Rule position : 1
From zone : untrust
Destination addresses : 0.0.0.0 - 255.255.255.255
Destination port : 80 - 80
Action : NAT-POOL_SV
Translation hits : 38
Successful sessions : 38
Number of sessions : 0
//正常に通信できれば「Translation hits」がカウントアップする。
続いてパケットフィルタリング設定を確認していきます。
lab@SRX320# run show security policies detail policy-name PERMIT_SV
Policy: PERMIT_SV, action-type: permit, services-offload:not-configured , State: enabled, Index: 7, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: untrust, To zone: trust
Source vrf group:
any
Destination vrf group:
any
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
ADDRESS-BOOK_SV: 192.168.1.12/32
Application: HTTP
IP protocol: tcp, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination ports: 80
Source identity feeds:
any
Destination identity feeds:
any
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
最後に動作確認をしましょう。
ポート開放確認をします。(併せて実際に別のグローバルIPアドレスの端末からサーバーへアクセスを試し、通信できました)
以上で宅内ルーターでやりたいことはできました!
イザという時に役に立ってほしいです!!!
