Juniper Destination NAT
Juniper NAT, Çözümpark forumlarında politikalardan sonra en çok konuşulan konulardan biri, en çok kullandığımız özelliği diyebilirim. Size burada Juniper üzerinde destination-NAT’i anlatacağız. Birçok kişinin belkide kullanmadığı okuduğunda basit ve ne kadar kullanışlı olacağını göreceğimiz bir özelliktir. Kullanma amacımız ise Wan interface’inde bulunan Public IP’mizi Local interfacemize natlamak ve sonrasında istediğimiz portu istediğimiz IP’ye yönlendirmek. Bazılarınız okurken bunu zaten VIP ile yapabiliyoruz ne gerek var diyebilir. Buradaki amaç DIP’i kullanabilmek çünkü VIP kullanırken aynı zamanda DIP’i kullanamıyoruz. dışarıda 2 tane Public IP’miz olduğunu düşünelim fakat bunu içerideki tek IP’ye indirmemiz gerekiyor. Mesela Dışarıdaki 212.212.212.212/32 ve 212.212.212.213/32 nolu IP’leri içerideki sadece 192.168.10.100/32’ye fakat içeridende 192.168.10.100/32 IP’si internete default firewall IP’den değilde farklı bir IP’den çıkmasını istiyoruz işte burada Destination-NAT devreye giriyor.
Fig.1 – Objects > Addresses > List
Trust zone’muzda bir isim vererek Untrust zonemuzda bulunan Public IP’mizi yazıyoruz. Bunu trust zone’da yapmamız gerekiyor.
Fig.2 Network > Routing > Routing Entries > Configuration
Dışarıdan içeriye NAT’layacağımız Public IP’mizi yazıp Interface olarak Bgroup/Trust zone olarak seçiyoruz. Böyle Public zone’da bulunan IP’miz içerideki Bgroup/Trust zone’muza doğru route edilmiş oldu.
Fig.3 Network > Routing > Routing Entries
Yazdığımız route’dan sonra routing tablomuzda Fig.3 gibi olmuş olması gerekiyor. Bundan sonrasında artık politikamız yazıp istediğimiz IP’ye natlamamız gerekiyor.
Fig.4 Policies (From Untrust to Trust)
Politikalarımıza gelip Untrust tan Trust’ta New diyerek yeni bir politika oluşturalım. Dışarıdan gelen herhangi bir IP olsun ve içerideki daha önce adressler kısmına yazdığımız objeyi seçelim. Aynı zamanda dışarıdan TCP 4443 portundan gelecek ve içeride TCP 443 portuna gidecek. Advanced butonuna basıp Destination-NAT yapacağımız bölüme geçelim.
Fig.5 Policies (Advanced Settings)
NAT kısmında Destination Translation kutusunu işaretleriyoruz ve Translate to IP bölümüne içerideki hangi IP’ye natlıyacak isek onun IP’sini giriyoruz.
Map to Port u işaretlerek hangi porta yönlendirelecek isek o porta yönlendiriyoruz. OK diyerek işlemimizi tamamlıyoruz.
Fig.6
İşlemlerimizi tamamladıktan sonra yukarıdaki gördüğümüz gibi politiklarımız olucak. Untrust zone’unda olan Tek bir Public IP’mizi içeriye trust zone’a doğru route edip içerideki farklı IP ve Portlara yönlendirmiş olduk.
Fig.7 Interfaces > Edit > DIP
VIP kullanmadan Dışarıdan içeriye Destination-NAT özelliği ile NAT’larımızı yaptık. Artık DIP kullanabilmemize imkan oldu. Umarım bu anlatımımızda arkadaşlarımızın karşılaştığı NAT problemlerine bir ışık tutmuş olduk.