Исходный NAT на Juniper SRX300
У меня проблемы с настройкой Source NAT на моем брандмауэре SRX300. Брандмауэр подключен к LC-панели через оптоволоконный кабель в порту 0/6. Я установил публичный IP на этом интерфейсе и настроил DNS-серверы и шлюз по умолчанию. Кроме того, у меня есть DHCP-сервер, работающий на порту 0/3. SRX имеет соединение и может пропинговать удаленные хосты, а подключение устройства к порту 0/3 даст ему IP-адрес из пула. Устройства на порте 3 могут пропинговать SRX, но не могут получить доступ к общедоступному Интернету, и я полагаю, что мне чего-то не хватает в исходной конфигурации NAT.
Вот моя безопасность nat (203.0.113.192/30, заменяющая мой публичный IP):
security {
nat {
source {
pool src-nat-pool-1 {
address {
203.0.113.192/30;
}
}
rule-set rs1 {
from zone trust;
to zone untrust;
rule r1 {
match {
source-address 0.0.0.0/0;
destination-address 0.0.0.0/0;
}
then {
source-nat {
pool {
src-nat-pool-1;
}
}
}
}
}
}
}
policies {
from-zone trust to-zone trust {
policy trust-to-trust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
ge-0/0/3.0;
ge-0/0/4.0;
ge-0/0/5.0;
ge-0/0/6.0 {
host-inbound-traffic {
system-services {
ping;
}
}
}
}
}
security-zone untrust {
screen untrust-screen;
}
}
}
И соответствующие интерфейсы настроены следующим образом:
interfaces {
ge-0/0/3 {
unit 0 {
family inet {
address 192.168.3.1/24;
}
}
}
ge-0/0/6 {
unit 0 {
family inet {
address 203.0.113.192/30;
}
}
}
}