Βίντεο: Φυσικοί αριθμοί Τέλειοι Φίλιοι Πρώτοι 2024
Αφού έχετε διαμορφώσει υπηρεσίες SRX NAT χρησιμοποιώντας είτε την διεπαφή εξόδου ή τη μέθοδο της ομάδας, μπορείτε να δημιουργήσετε έναν κανόνα για να αποκλείσετε συγκεκριμένη επισκεψιμότητα από τη διαδικασία NAT. Αυτή η ρύθμιση παραμέτρων μπορεί να γίνει για να επιτρέψει σε ορισμένους διακομιστές (όπως δημόσιο ιστό ή τοποθεσία FTP) να έχουν δημόσιες διευθύνσεις IP σε άλλο ιδιωτικό χώρο διεύθυνσης LAN, αλλά η επιλογή εξαρτάται από τον διαχειριστή του δικτύου.
Φυσικά, χρειάζεστε έναν νέο κανόνα. Αυτό ισχύει για το 192. 168. 2. 2 και ονομάζεται NO_translate:
Τώρα χρειάζεστε έναν κανόνα αντιστοίχισης και μια ενέργεια για τον νέο κανόνα ώστε να μπορείτε να απενεργοποιήσετε το NAT για 192, Όπως φαίνεται εδώ:
[επεξεργασία ασφαλείας πηγή πηγής κανόνας internet-nat rule NO_translate] ρίζα # set αντιστοιχία προέλευσης διεύθυνση 192. 168. 2. 2/32 root # set τότε source- nat off
Μπορεί να φανεί ότι τελειώσατε, αλλά δεν είστε.
Εδώ είναι τι συνέβη: Η σειρά των κανόνων καθορίζεται από τη σειρά με την οποία έχουν διαμορφωθεί στο CLI. Ο κανόνας NO_translate προστέθηκε αφού διαμορφώσατε τον βασικό κανόνα πρόσβασης για τους διαχειριστές, οπότε ο κανόνας NO_translate προστέθηκε απλά μετά τον υπάρχοντα κανόνα πρόσβασης admins. Δυστυχώς, επειδή η διαχειριστική πρόσβαση ταιριάζει με ολόκληρο το διάστημα διευθύνσεων LAN (192. 168. 2. 0/24), δεν αφήνεται καμιά κίνηση για να μην ταιριάζει ο κανόνας NO-translation.
Αυτό είναι ένα κοινό ζήτημα πολιτικής με το Junos και είναι αρκετά εύκολο να το διορθώσουμε. Μία δήλωση θέτει τον κανόνα με τη σωστή σειρά:
[τροποποιήστε την ασφάλεια node source rule-set internet-nat] root # εισαγάγετε τον κανόνα NO_translate πριν από τον κανόνα admin-accessAlways
για να επιτύχετε τα αποτελέσματα που θέλετε. Καθώς αυξάνεται ο αριθμός των κανόνων, η πιθανότητα σφάλματος αυξάνεται ακόμη πιο γρήγορα.