Académique Documents
Professionnel Documents
Culture Documents
ScreenOS 5.1.0
Ref. 093-1372-000-SP
Revisión B
Copyright Notice The following information is for FCC compliance of Class B devices: The
equipment described in this manual generates and may radiate radio-frequency
Copyright © 2004 Juniper Networks, Inc. All rights reserved. energy. If it is not installed in accordance with NetScreen’s installation
instructions, it may cause interference with radio and television reception. This
Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen equipment has been tested and found to comply with the limits for a Class B
Technologies, GigaScreen, and the NetScreen logo are registered trademarks digital device in accordance with the specifications in part 15 of the FCC rules.
of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, These specifications are designed to provide reasonable protection against
NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, such interference in a residential installation. However, there is no guarantee
NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, that interference will not occur in a particular installation.
NetScreen-Global PRO Express, NetScreen-Remote Security Client,
NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, If this equipment does cause harmful interference to radio or television
NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen reception, which can be determined by turning the equipment off and on, the
ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and user is encouraged to try to correct the interference by one or more of the
registered trademarks are the property of their respective companies. following measures:
Information in this document is subject to change without notice. • Reorient or relocate the receiving antenna.
No part of this document may be reproduced or transmitted in any form or by • Increase the separation between the equipment and receiver.
any means, electronic or mechanical, for any purpose, without receiving written
permission from: • Consult the dealer or an experienced radio/TV technician for help.
Juniper Networks, Inc. • Connect the equipment to an outlet on a circuit different from that to
ATTN: General Counsel which the receiver is connected.
1194 N. Mathilda Ave. Caution: Changes or modifications to this product could void the user's
Sunnyvale, CA 94089-1206 warranty and authority to operate this device.
Contenido
Prefacio ........................................................................ iii NAT-Src desde un conjunto de DIP con
desplazamiento de direcciones ..............................25
Convenciones ........................................................... iv
Ejemplo: NAT-Src con desplazamiento de
Convenciones de la interfaz de línea direcciones .......................................................... 26
de comandos (CLI) ...................................................... iv
NAT-Src desde la dirección IP de la interfaz
Convenciones de la interfaz gráfica (WebUI) ............... v
de salida ..................................................................31
Convenciones para las ilustraciones...........................vii
Ejemplo: NAT-Src sin DIP ....................................... 31
Convenciones de nomenclatura y conjuntos de
caracteres ..................................................................viii Capítulo 3 Traducción de direcciones de red
Documentación de NetScreen
de destino ...................................................................35
de Juniper Networks .................................................. ix Introducción a NAT-Dst .............................................36
Flujo de paquetes para NAT-Dst................................. 38
Capítulo 1 Traducción de direcciones.........................1
Enrutamiento para NAT-Dst......................................... 42
Introducción a la traducción de direcciones ............2 Direcciones conectadas a una interfaz .............. 43
Traducción de direcciones de red de origen ..............2 Direcciones conectadas a una interfaz pero
Traducción de direcciones de red de destino.............4 separadas por un enrutador ............................... 44
Direcciones separadas por una interfaz.............. 45
Opciones de la traducción basada en directivas.....9
NAT-Dst: Asignación “1:1” .........................................46
Naturaleza direccional de NAT-Src y NAT-Dst ...........13
Ejemplo: Traducción de destinos “1:1”................ 47
Capítulo 2 Traducción de direcciones de red Traducción de una dirección a múltiples
de origen .....................................................................15 direcciones ................................................................ 51
Introducción a NAT-Src .............................................16 Ejemplo: Traducción de destinos “1:n”................ 51
NAT-Dst: Asignación “n:1” .........................................55
NAT-Src desde un conjunto de DIP con PAT
habilitada.................................................................18 Ejemplo: Traducción de destinos “n:1”................ 55
Ejemplo: NAT-Src con PAT habilitada....................19 NAT-Dst: Asignación “n:n” .........................................60
NAT-Src desde un conjunto de DIP con PAT Ejemplo: Traducción de destinos “n:n”................ 61
inhabilitada ..............................................................22 NAT-Dst con asignación de puertos .........................65
Ejemplo: NAT-Src con PAT inhabilitada .................22 Ejemplo: NAT-dst con asignación de puertos ...... 65
Nota: Para obtener más información sobre la traducción de direcciones de origen de una red basada en interfaces
(denominada simplemente NAT), consulte “Modo NAT” en la página 2 -127.
CONVENCIONES
Este documento contiene distintos tipos de convenciones, que se explican en las siguientes secciones:
• Convenciones de la interfaz de línea de comandos (CLI)
• “Convenciones de la interfaz gráfica (WebUI)” en la página v
• “Convenciones para las ilustraciones” en la página vii
• “Convenciones de nomenclatura y conjuntos de caracteres” en la página viii
Nota: Para escribir palabras clave, basta con introducir los primeros caracteres que permitan al sistema reconocer
de forma inequívoca la palabra que se está introduciendo. Por ejemplo, es suficiente escribir set adm u joe
j12fmt54 para que el sistema reconozca el comando set admin user joe j12fmt54 . Aunque este método se
puede utilizar para introducir comandos, en la presente documentación todos ellos se representan con sus
palabras completas.
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de diálogo apropiado, donde
podrá definir objetos y establecer parámetros de ajuste. El conjunto de instrucciones de cada tarea se divide en dos
partes: la ruta de navegación y los datos de configuración. Por ejemplo, el siguiente conjunto de instrucciones
incluye la ruta al cuadro de diálogo de configuración de direcciones y los ajustes de configuración que se deben
realizar:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :
Address Name: addr_1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32
Zone: Untrust
Zone: Untrust
Haga clic
en OK .
Equipo de escritorio
Interfaces de zonas de seguridad
Blanca = interfaz de zona protegida
(ejemplo: zona Trust)
Negra = interfaz de zona externa Equipo portátil
(ejemplo: zona sin confianza o zona Untrust)
Servidor
Icono de enrutador (router)
Nota: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS,
según el conjunto de caracteres que admita el explorador web.
• Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepción de las comillas dobles ( “ ),
que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios.
Traducción de direcciones
1
NetScreen proporciona muchos métodos para realizar la traducción de direcciones IP de origen y de destino y de
direcciones del puerto de destino. Este capítulo describe los diversos métodos de traducción de direcciones
disponibles y está organizado en las siguientes secciones:
• “Introducción a la traducción de direcciones” en la página 2
– “Traducción de direcciones de red de origen” en la página 2
– “Traducción de direcciones de red de destino” en la página 4
• “Opciones de la traducción basada en directivas” en la página 9
• “Naturaleza direccional de NAT-Src y NAT-Dst” en la página 13
IP de IP de IP de IP de
origen destino origen destino
1. La traducción de direcciones determinista utiliza una técnica llamada “desplazamiento de direcciones” (“address shifting”), que se explica más adelante en
este capítulo. Para obtener más información sobre el desplazamiento de direcciones aplicado a NAT-src, consulte “NAT-Src desde un conjunto de DIP con
desplazamiento de direcciones” en la página 25. Para obtener más información sobre el desplazamiento de direcciones aplicado a NAT-dst, consulte
“NAT-Src y NAT-Dst en la misma directiva” en la página 70.
2. Puede utilizar NAT-src basada en directivas cuando la interfaz de ingreso se encuentra en el modo Route o NAT. Si se encuentra en modo NAT, los
parámetros de NAT-src a nivel de directivas reemplazan a los parámetros de NAT a nivel de interfaz.
Con NAT-src basada en directivas, puede elegir opcionalmente que el dispositivo NetScreen realice la traducción
de direcciones del puerto (PAT) del número original del puerto de origen. Con PAT habilitada, el dispositivo
NetScreen puede traducir hasta unas 64.500 direcciones IP diferentes a una sola dirección IP con hasta unos
64.500 puertos diferentes3. El dispositivo NetScreen utiliza el número traducido de puerto único para mantener la
información del estado de la sesión correspondiente al tráfico entrante y saliente de la misma dirección IP única.
Para NAT-src basada en interfaces (conocida simplemente como “NAT”), la traducción de direcciones de puertos
está habilitada automáticamente. Dado que el dispositivo NetScreen traduce todas las direcciones IP originales a la
misma dirección IP traducida (la de la interfaz de salida), el dispositivo NetScreen utiliza el número de puerto
traducido para identificar a qué sesión corresponde cada paquete. De forma similar, si un conjunto de DIP consta
solamente de una dirección IP y se desea que el dispositivo NetScreen aplique NAT-src a varios equipos utilizando
esa dirección, entonces se requiere PAT por la misma razón.
IP de IP de IP de IP de
origen destino origen destino
3. Con PAT habilitada, el dispositivo NetScreen mantiene un conjunto de números de puerto libres para asignar junto con direcciones del conjunto de DIP. La
cifra de unos ~64.500 se calcula restando 1023 (los números reservados para los puertos bien conocidos) del número máximo de puertos, que es 65.535.
Por lo tanto, cuando el dispositivo NetScreen realiza NAT-src con un conjunto de DIP que contiene una sola dirección IP y la traducción PAT está habilitada,
el dispositivo NetScreen puede traducir las direcciones IP originales de hasta unos ~64.500 equipos a una sola dirección IP y cada número de puerto original
a un número de puerto único.
En aplicaciones personalizadas que requieran un número específico de puerto de origen para funcionar
correctamente, la ejecución de PAT provoca que esas aplicaciones fallen. Para prevenir tales casos, puede
desactivar PAT.
Nota: Para obtener más información sobre NAT-src, consulte “Traducción de direcciones de red de origen” en la
página 15.
Nota: NetScreen no admite el uso de NAT-dst basada en directivas en combinación con MIPs y VIPs. Si tiene
configurada una MIP o VIP, el dispositivo NetScreen la aplicará a cualquier tráfico al que también sea aplicable una
configuración NAT-dst basada en directivas. En otras palabras, las MIPs y VIPs desactivan NAT-dst basada en
directivas si el dispositivo NetScreen se configura accidentalmente para aplicar ambas al mismo tráfico.
4. Para obtener más información sobre la asignación de puertos, consulte “NAT-dst basada en directivas” en las páginas siguientes, así como “Traducción de
direcciones de red de destino” en la página 35.
NAT-dst basada en directivas: Puede configurar una directiva para traducir una dirección IP de destino a otra
dirección, un rango de direcciones IP a una sola dirección IP, o un rango de direcciones IP a otro rango. Cuando
una sola dirección IP de destino se traduce a otra dirección IP o un rango de direcciones IP se traduce a una sola
dirección IP, NetScreen puede admitir NAT-dst con o sin asignación de puertos. La asignación de puertos es la
traducción determinista de un número de puerto de destino original a otro número específico, a diferencia de PAT,
que traduce cualquier número de puerto de origen original asignado aleatoriamente por el equipo iniciador a otro
número asignado aleatoriamente por el dispositivo NetScreen.
IP de IP de IP de IP de
origen destino origen destino
IP de IP de IP de IP de
origen destino origen destino
Cuando se configura una directiva para ejecutar NAT-dst con el fin de traducir un rango de direcciones a una sola
dirección, el dispositivo NetScreen traduce cualquier dirección IP de destino del rango de direcciones de destino
originales definido por el usuario a una sola dirección. También puede habilitar la asignación de puertos.
Traducción de las direcciones IP de destino de un rango de direcciones IP a una dirección IP única
Direcciones IP de destino originales Direcciones IP de destino traducidas
Traducc ón de d recc ones P de des no de un rango de d recc ones P a una d recc ón P ún ca con as gnac ón de puer os de des no
D recc ones P de des no y de puer os or g na es D recc ones P de des no y de puer os raduc das
P OR G P DEST P OR G P DEST
Al configurar una directiva para realizar NAT-dst en un rango de direcciones, el dispositivo NetScreen utiliza el
desplazamiento de direcciones para traducir una dirección IP de destino de un rango de direcciones de destino
originales a una dirección conocida de otro rango de direcciones.
IP de IP de IP de IP de
origen destino origen destino
Al realizar NAT-dst en un rango de direcciones IP, el dispositivo NetScreen mantiene una correspondencia entre
cada dirección IP de un rango de direcciones y la dirección IP correspondiente en otro rango de direcciones.
Nota: NAT-src y NAT-dst se pueden combinar en la misma directiva. Cada mecanismo de traducción funciona de
forma independiente y unidireccional. Es decir, si habilita NAT-dst para el tráfico de zone1 a zone2, el dispositivo
NetScreen no aplicará NAT-src al tráfico originado en zone2 y destinado a zone1 salvo que lo configure
específicamente para hacerlo. Para obtener más información, consulte “Naturaleza direccional de NAT-Src y
NAT-Dst” en la página 13. Para obtener más información sobre NAT-dst, consulte “Traducción de direcciones de
red de destino” en la página 35.
MIPs: Una MIP es una asignación (correspondencia) de una dirección IP a otra dirección IP. Una de las direcciones
debe definirse en la misma subred que una dirección IP de interfaz. La otra dirección pertenece al host al que se
desea dirigir el tráfico. La traducción de direcciones para una MIP se comporta de forma bidireccional, de modo que
el dispositivo NetScreen traduce la dirección IP de destino de todo el tráfico dirigido a una MIP a la dirección IP del
host, y la dirección IP de origen de todo el tráfico procedente de la dirección IP del host a la dirección MIP. Las
MIPS no admiten asignaciones de puertos. Para obtener más información sobre MIPs, consulte “Direcciones IP
asignadas” en la página 92.
VIPs: Una VIP es una asignación (correspondencia) de una dirección IP a otra dirección IP basada en el número de
puerto de destino. Una sola dirección IP definida en la misma subred que una interfaz puede contener asignaciones
5
de varios servicios (identificados por los diferentes números de puertos de destino) a otros tantos hosts . Las VIPs
también admiten asignaciones de puertos. A diferencia de las MIPs, la traducción de direcciones para una VIP
ocurre de forma unidireccional. El dispositivo NetScreen traduce la dirección IP de destino en todo el tráfico
entrante a una VIP a la dirección IP de un host. (El dispositivo NetScreen solamente comprueba si la dirección IP de
destino está asociada a una VIP en los paquetes que llegan a una interfaz asociada a la zona Untrust). El
dispositivo NetScreen no traduce la dirección IP de origen inicial del tráfico saliente de un host VIP a la de la
dirección VIP. En lugar de ello, el dispositivo NetScreen aplica NAT-src basada en interfaces o basada en directivas
si previamente ha sido configurado. De no ser así, el dispositivo NetScreen no aplicará NAT-src al tráfico originado
en un host VIP. Para obtener más información sobre VIPs, consulte “Direcciones IP virtuales” en la página 118.
Mientras que los mecanismos de traducción de direcciones para MIPs y VIPs son bidireccionales, la funcionalidad
proporcionada por NAT-src y NAT-dst basadas en directivas mantienen separada la traducción de direcciones de
los tráficos entrante y saliente, aumentando las posibilidades de control y la seguridad. Por ejemplo, si utiliza una
asignación MIP a un servidor Web, siempre que ese servidor inicie un tráfico saliente para obtener una
actualización o parche, su actividad quedará expuesta, siendo susceptible de que un posible atacante la utilice. Los
métodos de traducción de direcciones basada en directivas permiten definir una asignación de direcciones cuando
el servidor web recibe tráfico (mediante NAT-dst) y otra asignación cuando inicia tráfico (mediante NAT-src).
Manteniendo sus actividades ocultas, puede proteger mejor el servidor contra cualquiera que intente recopilar
información para preparar un ataque. En esta versión de ScreenOS, NAT-src y NAT-dst basadas en directivas
ofrecen una estrategia común que puede duplicar y sobrepasar la funcionalidad de MIPs y VIPs basadas en
interfaces.
5. En algunos dispositivos NetScreen se puede definir una VIP para actuar del mismo modo que una dirección IP de interfaz. Esta posibilidad resulta muy útil
cuando el dispositivo NetScreen solamente tiene asignada una dirección IP, y cuando ésta se asigna dinámicamente.
(Dispositivo virtual)
Origen original Origen traducido Destino
Nota: En esta ilustración y en las siguientes se utiliza un “dispositivo virtual” para representar una dirección de
origen o de destino traducida cuando dicha dirección no pertenece a un dispositivo real.
NAT-Src from a DIP Pool without PAT: El dispositivo NetScreen traduce la dirección IP de origen original a una
dirección tomada de un conjunto DIP. El dispositivo NetScreen no aplica PAT de origen. Para obtener más
información, consulte “NAT-Src desde un conjunto de DIP con PAT inhabilitada” en la página 22.
Conjunto de DIP con ID 5
1.1.1.10 – 1.1.1.40
1.1.1.25
Zona Trust ethernet1 ethernet3 Zona Untrust
10.1.1.1/24 1.1.1.1/24
10.1.1.6:35030 1.1.1.25:35030 2.2.2.2:80
(Dispositivo virtual)
Origen original Origen traducido Destino
NAT-Src from a DIP Pool with Address Shifting: El dispositivo NetScreen traduce la dirección IP de origen
original a una dirección tomada de un conjunto de direcciones IP dinámicas (DIP), asignando coherentemente cada
dirección original a una determinada dirección traducida. El dispositivo NetScreen no aplica la traducción de
direcciones de los puertos de origen (PAT). Para obtener más información, consulte “NAT-Src desde un conjunto de
DIP con desplazamiento de direcciones” en la página 25.
Conjunto de DIP
con ID 5
1.1.1.10 – 1.1.1.40 1.1.1.20
Zona Trust ethernet1 ethernet3 1.1.1.21
1.1.1.1/24 Zona Untrust
10.1.1.1/24
10.1.1.20:25611 1.1.1.20:25611
2.2.2.2:80
10.1.1.21:35030 1.1.1.21:35030
NAT-Src from the Egress Interface IP Address: El dispositivo NetScreen traduce la dirección IP de origen original
a la dirección de la interfaz emisora. El dispositivo NetScreen también aplica PAT de origen. Para obtener más
información, consulte “NAT-Src desde la dirección IP de la interfaz de salida” en la página 31.
(Dispositivo
virtual)
Origen original 1.1.1.1 Origen Destino
traducido
NAT-Dst to a Single IP Address with Port Mapping: El dispositivo NetScreen realiza la traducción de direcciones
de red de destino (NAT-dst) y la asignación de puertos de destino. Para obtener más información, consulte
“NAT-Dst con asignación de puertos” en la página 65.
2.2.2.8:7777
Zona Untrust ethernet3 ethernet1 Zona Trust
1.1.1.1/24 10.2.2.1/24
1.1.1.5
10.2.2.8:80
(Dispositivo
virtual)
NAT-Dst to a Single IP Address without Port Mapping: El dispositivo NetScreen realiza NAT-dst pero no cambia
el número del puerto de destino original. Para obtener más información, consulte “Traducción de direcciones de red
de destino” en la página 35.
2.2.2.8:80
Zona Untrust ethernet3 ethernet1 Zona Trust
1.1.1.1/24 10.2.2.1/24
1.1.1.5 10.2.2.8:80
(Dispositivo
virtual)
Origen
Destino original Destino traducido
NAT-Dst from an IP Address Range to a Single IP Address: El dispositivo NetScreen realiza NAT-dst para
traducir un rango de direcciones IP a una dirección IP única. Si también habilita la asignación de puertos, el
dispositivo NetScreen traducirá el número de puerto de destino original a otro número. Para obtener más
información, consulte “NAT-Dst: Asignación “n:1”” en la página 55.
2.2.2.8:80
Zona Untrust ethernet3 ethernet2 Zona DMZ
1.1.1.5:25611 1.1.1.1/24 10.2.2.1/24
10.2.2.8:80
2.2.2.9:80 10.2.2.8:80
2.2.2.8 y 2.2.2.9 se traducen
1.1.1.6:40365 siempre a 10.2.2.8.
NAT-Dst between IP Address Ranges: Cuando se aplica NAT-dst a un rango de direcciones IP, el dispositivo
NetScreen mantiene una asignación constante de una dirección de destino original a una dirección traducida del
rango especificado usando una técnica denominada desplazamiento de direcciones (“address shifting”). Observe
que el desplazamiento de direcciones no admite asignaciones de puertos. Para obtener más información, consulte
“NAT-Dst: Asignación “n:n”” en la página 60.
2.2.2.8:80 10.2.2.8:80
Zona Untrust ethernet3 ethernet1
1.1.1.1/24 10.2.2.1/24 Zona Trust
1.1.1.5
2.2.2.9:80 10.2.2.9:80
1.1.1.6
2.2.2.8 se traduce siempre a 10.2.2.8
y 2.2.2.9 se traduce siempre a 10.2.2.9.
(Dispositivo virtual)
Orígenes
Destinos Destinos
originales traducidos
Zona A Zona B
ORIG DEST
1.1.1.1 2.2.2.2 Carga de datos
ORIG DEST
3.3.3.3 1.1.1.1 Carga de datos
ORIG DEST
2.2.2.2 1.1.1.1 Carga de datos
Nota: Para que el dispositivo NetScreen pueda realizar una consulta de rutas para determinar las zonas de
destino, es necesario establecer una ruta a 2.2.2.2/32 (host virtual B). Para obtener más información sobre
cuestiones de enrutamiento NAT-dst, consulte “Enrutamiento para NAT-Dst” en la página 42.
Sin embargo, si crea la directiva antedicha especificando solamente NAT-dst desde el host A al host B, el
dispositivo NetScreen no traducirá la dirección IP de origen original del host B si éste inicia tráfico hacia el host A,
en lugar de responder al tráfico procedente del host A. Para que el dispositivo NetScreen traduzca la dirección IP de
origen del host B cuando éste inicia tráfico al host A, debe configurar una segunda directiva en la que se especifique
6
NAT-src desde el host B al host A . (Este comportamiento es distinto al de las MIPs. Consulte “Direcciones IP
asignadas” en la página 92).
set interface ethernet1 dip-id 7 1.1.1.3 1.1.1.3
set policy from “zone B” to “zone A” “host B” “host A” any nat src dip-id 7 permit
Zona A Zona B
ORIG DEST
3.3.3.3 1.1.1.1 Carga de datos
ORIG DEST
1.1.1.3 1.1.1.1 Carga de datos
ORIG DEST
1.1.1.1 1.1.1.3 Carga de datos
6. Para no distraer la atención de los mecanismos de traducción de direcciones IP, no se muestra la traducción de direcciones de puertos (PAT). Si especifica
números de puerto fijos para un conjunto de DIP consistente en una sola dirección IP, solamente un host podrá utilizar ese conjunto en un momento dado.
La directiva anterior especifica solamente el “host B” como dirección de origen. Si el “host B” es el único host que utiliza el conjunto de DIP 7, es innecesario
habilitar PAT.
INTRODUCCIÓN A NAT-SRC
A veces es necesario que el dispositivo NetScreen traduzca la dirección IP de origen original de un encabezado de
paquete IP a otra dirección. Por ejemplo, cuando algún host con una dirección IP privada envía tráfico a un espacio
de direcciones público, el dispositivo NetScreen debe traducir la dirección IP de origen privada a una dirección
1
pública . Asimismo, al enviar tráfico desde un espacio de direcciones privado a través de una VPN a un sitio que
utilice las mismas direcciones, los dispositivos NetScreen situados en ambos extremos del túnel deben traducir las
direcciones IP de origen y de destino a direcciones que no se interfieran mutuamente.
Un conjunto de direcciones IP dinámicas (DIP) proporciona al dispositivo NetScreen una fuente de direcciones que
utiliza para realizar la traducción de direcciones de red de origen (NAT-src). Cuando una directiva requiere NAT-src
y hace referencia a un conjunto de DIP específico, el dispositivo NetScreen toma direcciones de ese conjunto al
realizar la traducción.
Nota: El conjunto de DIP debe utilizar direcciones de la misma subred que la interfaz predeterminada de la zona de
destino a la que se hace referencia en la directiva. Si desea utilizar un conjunto de DIP con direcciones que se
encuentran fuera de la subred de la interfaz de la zona de destino, debe definir un conjunto de DIP en una interfaz
extendida. Para obtener más información, consulte “Interfaz extendida y DIP” en la página 2 -283.
El conjunto de DIP puede ser tan pequeño como una sola dirección IP, la cual, si se habilita la traducción de
direcciones de puertos (PAT), puede atender a unos 64.500 hosts simultáneamente2. Aunque a todos los paquetes
que reciben una nueva dirección IP de origen de ese conjunto se les asigna la misma dirección, cada uno obtiene
un número de puerto diferente. Manteniendo una entrada en la tabla de sesiones con la correspondencia entre las
direcciones original y traducida y los números de puerto original y traducido, el dispositivo NetScreen puede
determinar qué paquetes pertenecen a qué sesión, y qué sesiones pertenecen a qué hosts.
Si utiliza NAT-src pero no especifica un conjunto de DIP en la directiva, el dispositivo NetScreen traduce la dirección
de origen a la dirección de la interfaz de salida de la zona de destino. En estos casos se requiere PAT, que se
habilita automáticamente.
1. Para obtener más información sobre direcciones IP públicas y privadas, consulte “Direcciones IP públicas” en la página 2 -67 y “Direcciones IP privadas”
en la página 2 -68.
2. Con PAT habilitada, el dispositivo NetScreen también mantiene un conjunto de números de puerto libres para asignar junto con direcciones del conjunto de
DIP. La cifra de unos ~64.500 se calcula restando 1023 (los números reservados para los puertos bien conocidos) del número máximo de puertos, que es
65.535.
Para las aplicaciones que requieran trabajar con un número de puerto de origen invariable, debe desactivar PAT y
definir un conjunto de DIP con un rango de direcciones IP suficientemente grandes para que cada host activo
simultáneamente reciba una dirección traducida diferente. Para trabajar con direcciones dinámicas (DIP) de puerto
fijo, el dispositivo NetScreen asigna una dirección de origen traducida al mismo host para todas sus sesiones
simultáneas. Por el contrario, cuando el conjunto de DIP tiene habilitada PAT, el dispositivo NetScreen puede
asignar a un solo host diferentes direcciones para otras tantas sesiones simultáneas, salvo que la DIP se defina
como “sticky” (consulte “Direcciones DIP “sticky”” en la página 2 -282).
(Dispositivo virtual)
Origen original Origen traducido Destino
IP ORIG IP DEST PTO ORIG PTO DEST PROTO IP ORIG IP DEST PTO ORIG PTO DEST PROTO
10.1.1.5 2.2.2.2 25611 80 HTTP 1.1.1.30 2.2.2.2 41834 80 HTTP
3. Cuando defina un conjunto de DIP, el dispositivo NetScreen habilitará PAT de forma predeterminada. Para desactivar PAT, deberá agregar la palabra clave
“fix-port” al final del comando CLI, o bien borrar la opción “Port Translation” en la página de configuración de DIP en WebUI. Por ejemplo, set interface
ethernet3 dip 5 1.1.1.30 1.1.1.30 fix-port, o bien Network > Interfaces > Edit (para ethernet3) > DIP: ID: 5; Start: 1.1.1.30; End: 1.1.1.30; Port Translation:
(anule la selección).
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :
Zone Name: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
2. DIP
Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los siguientes datos y haga clic en
OK :
ID: 5
IP Address Range: (seleccione), 1.1.1.30 ~ 1.1.1.30
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
3. Directiva
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
(DIP on): 5 (1.1.1.30 - 1.1.1.30)/X-late
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :
Zone Name: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 1.1.1.1/24
2. DIP
Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los siguientes datos y haga clic en
OK :
ID: 6
IP Address Range: (seleccione), 1.1.1.50 ~ 1.1.1.150
Port Translation: (anule la selección)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
3. Directiva
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: e-stock
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
DIP on: (seleccione), 6 (1.1.1.50 - 1.1.1.150)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
Nota: El dispositivo NetScreen no admite la traducción de direcciones de puertos de origen (PAT) con
desplazamiento de direcciones.
Definirá las direcciones de cinco hosts en la zona Trust y las agregará a un grupo de direcciones llamado “group1”.
Las direcciones de estos hosts son 10.1.1.11, 10.1.1.12, 10.1.1.13, 10.1.1.14 y 10.1.1.15. Configurará una directiva
para el tráfico de la zona Trust a la zona Untrust que haga referencia a ese grupo de direcciones en una directiva a
la que aplicará NAT-src con el conjunto de DIP 10. La directiva ordenará al dispositivo NetScreen aplicar NAT-src
siempre que un miembro de “group1” inicie tráfico HTTP hacia una dirección en la zona Untrust. Además, el
dispositivo NetScreen siempre aplicará NAT-src desde una dirección IP determinada, como 10.1.1.13, a la misma
dirección IP traducida, 1.1.1.103.
A continuación, establecerá una directiva que ordene al dispositivo NetScreen realizar las siguientes tareas:
• Permitir el tráfico HTTP desde “group1” en la zona Trust a cualquier dirección en la zona Untrust
• Traducir la dirección IP de origen en el encabezado de paquetes IP a su correspondiente dirección en el
conjunto de DIP 10
• Enviar el tráfico HTTP con la dirección IP de origen y el número de puerto traducidos a través de ethernet3
a la zona Untrust
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :
Zone Name: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
2. DIP
Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los siguientes datos y haga clic en
OK :
ID: 10
IP Shift: (seleccione)
From: 10.1.1.11
To: 1.1.1.101 ~ 1.1.1.105
In the same subnet as the interface IP or its secondary IPs: (seleccione)
3. Direcciones
Objects > Addresses > List > New: Introduzca la siguiente información y haga clic en OK :
Address Name: host1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.11/32
Zone: Trust
Objects > Addresses > List > New: Introduzca la siguiente información y haga clic en OK :
Address Name: host2
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.12/32
Zone: Trust
Objects > Addresses > List > New: Introduzca la siguiente información y haga clic en OK :
Address Name: host3
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.13/32
Zone: Trust
Objects > Addresses > List > New: Introduzca la siguiente información y haga clic en OK :
Address Name: host4
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.14/32
Zone: Trust
Objects > Addresses > List > New: Introduzca la siguiente información y haga clic en OK :
Address Name: host5
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.15/32
Zone: Trust
Objects > Addresses > Groups > (para Zone: Trust) New: Introduzca el siguiente nombre de grupo, mueva
las siguientes direcciones y haga clic en OK :
Group Name: group1
Seleccione host1 y utilice el botón << para trasladar la dirección de la
columna “Available Members” a la columna “Group Members”.
Seleccione host2 y utilice el botón << para trasladar la dirección de la
columna “Available Members” a la columna “Group Members”.
Seleccione host3 y utilice el botón << para trasladar la dirección de la
columna “Available Members” a la columna “Group Members”.
Seleccione host4 y utilice el botón << para trasladar la dirección de la
columna “Available Members” a la columna “Group Members”.
Seleccione host5 y utilice el botón << para trasladar la dirección de la
columna “Available Members” a la columna “Group Members”.
4. Directiva
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), group1
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
(DIP on): 10 (1.1.1.101 - 1.1.1.105)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
(Dispositivo
virtual)
1.1.1.1
Origen original Destino
Origen traducido
IP ORIG IP DEST PTO ORIG PTO DEST PROTO IP ORIG IP DEST PTO ORIG PTO DEST PROTO
10.1.1.5 2.2.2.2 25611 80 HTTP 1.1.1.1 2.2.2.2 41834 80 HTTP
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :
Zone Name: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
2. Directiva
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
(DIP on): None (Use Egress Interface IP)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
Nota: Para obtener información sobre la traducción de direcciones de destino usando una IP asignada (MIP) o
dirección IP virtual (VIP), consulte “Direcciones IP asignadas y virtuales” en la página 91.
INTRODUCCIÓN A NAT-DST
Puede definir directivas para traducir la dirección de destino de una dirección IP a otra. Puede necesitar que el
dispositivo NetScreen traduzca una o varias direcciones IP públicas a una o varias direcciones privadas. La relación
de la dirección de destino original con la dirección de destino traducida puede ser de “1:1” (“una a una”), de “n:1”
(muchas a una) o de “n:n” (muchas a muchas). La ilustración siguiente representa los conceptos de las relaciones
NAT-dst “1:1” y “n:1”.
El dispositivo NetScreen
asigna tráfico desde aquí …… hasta aquí.
Nota: Las direcciones IP de
destino original y traducida
“NAT-Dst: Asignación deben estar en la misma zona
“1:1”” en la página 46 de seguridad.
(Dispositivo virtual)
“NAT-Dst: Asignación
(Dispositivos virtuales)
“n:1”” en la página 55
Destino Destino
original traducido
Puede traducir un rango de direcciones de destino a otro rango (como una subred a otra) mediante el
desplazamiento de direcciones, de modo que el dispositivo NetScreen asigne de forma fija cada dirección de
destino original a una determinada dirección de destino traducida. Observe que NetScreen no admite la asignación
de puertos con desplazamiento de direcciones. La ilustración siguiente representa el concepto de una relación
múltiple (“n:n”) para NAT-dst.
“NAT-Dst: Asignación
(Dispositivos virtuales)
“n:n”” en la página 60
Destino Destino
original traducido
La tabla de rutas debe contener entradas tanto de la dirección IP de destino original como de la dirección IP de
destino traducida. El dispositivo NetScreen realiza una consulta de rutas utilizando la dirección IP de destino
original para determinar la zona de destino y realizar la subsiguiente consulta de directivas. A continuación, realiza
una segunda consulta de rutas con la dirección traducida para determinar a dónde enviar el paquete. Para
garantizar que la decisión de enrutamiento cumpla con la directiva, tanto la dirección IP de destino original como la
dirección IP traducida deben estar en la misma zona de seguridad. (Para obtener más información sobre la relación
entre la dirección IP de destino, la consulta de rutas y la consulta de directivas, consulte “Flujo de paquetes para
NAT-Dst” en la página 38).
Zona DMZ
ORIG DEST ORIG DEST ethernet2
1.1.1.5 5.5.5.5 32455 80 Carga de datos
2.2.2.2/24
?
Zona Untrust
Zona Trust
ethernet1 ethernet3
1.1.1.1/24 ? 3.3.3.3/24
1.1.1.5
Origen ? ethernet4 Zona Custom1
4.4.4.4/24
5.5.5.5 4.4.4.5
Destino original Destino traducido
El dispositivo NetScreen todavía no ha realizado los pasos necesarios para determinar qué interfaz debe utilizar
para remitir el paquete. Esto se indica en la ilustración mediante los tres signos de interrogación.
2. Si hay habilitadas opciones de SCREEN para la zona Untrust, el dispositivo NetScreen activa el módulo
SCREEN en este momento. La comprobación de SCREEN puede producir uno de los tres resultados
siguientes:
– Si un mecanismo SCREEN detecta un comportamiento anómalo y está configurado para bloquear el
paquete correspondiente, el dispositivo NetScreen descarta el paquete y genera una entrada en el
registro de eventos.
– Si un mecanismo SCREEN detecta un comportamiento anómalo y está configurado para registrar el
evento pero no bloquear el paquete, el dispositivo NetScreen registra el evento en la lista de
contadores SCREEN para la interfaz de entrada y procede al paso siguiente.
1. El dispositivo NetScreen sólo comprueba si la dirección IP de destino se utiliza en una configuración VIP si el paquete llega una interfaz asociada a la zona
Untrust.
5. Para determinar la zona de destino, el módulo de rutas realiza una consulta de rutas de la dirección IP de
destino original; es decir, utiliza la dirección IP de destino que aparece en el encabezado del paquete que
llega a ethernet1. (El módulo de rutas utiliza la interfaz de entrada para determinar qué enrutador virtual
debe utilizar para la consulta de rutas). Descubre que se accede a 5.5.5.5/32 a través de ethernet4, que
está asociada a la zona Custom1.
Tabla de rutas
trust-vr
Para llegar a: Utilizar interfaz: En zona: Usar puerta de
enlace:
0.0.0.0/0 ethernet1 Untrust 1.1.1.250
1.1.1.0/24 ethernet1 Untrust 0.0.0.0
2.2.2.0/24 ethernet2 DMZ 0.0.0.0
3.3.3.0/24 ethernet3 Trust 0.0.0.0
4.4.4.0/24 ethernet4 Custom1 0.0.0.0
5.5.5.5/32 ethernet4 Custom1 0.0.0.0
6. El motor de directivas realiza una consulta de directivas entre las zonas Untrust y Custom1 (según lo
determinado por las correspondientes interfaces de entrada y de salida). Las direcciones IP de origen y de
destino y el servicio encuentran una directiva que desvía el tráfico HTTP de 5.5.5.5 a 4.4.4.5.
set policy from untrust to custom1 any v-server1 http nat dst ip 4.4.4.5 permit
(Previamente habrá definido la dirección “v-server1” con la dirección IP 5.5.5.5/32. Está en la zona
Custom1).
El dispositivo NetScreen traduce la dirección IP de destino de 5.5.5.5 a 4.4.4.5. La directiva indica que no
se requiere ninguna traducción de direcciones de red de origen ni ninguna traducción de direcciones de
puertos de destino.
7. El dispositivo NetScreen efectúa una segunda consulta de rutas utilizando la dirección IP traducida y
descubre que se accede a 4.4.4.5/32 a través de ethernet4.
1.1.1.5
Origen Zona Custom1
ethernet4
4.4.4.4/24
ID ID
Flag de NSP (sólo Protocolo de VLAN VSD
para uso interno) transporte
6 = TCP
Nota: Dado que en esta sesión no hay implicado ningún sistema virtual, VLAN, túnel VPN ni dispositivo
de seguridad virtual (VSD), el ajuste para todos estos números de identificación es cero.
(Dispositivo virtual)
10.1.1.0/24
Nota: Aunque 10.2.1.5 no se encuentra en la subred 10.1.1.0/24 porque su ruta no especifica una puerta de
enlace, está ilustrada como si estuviese en la misma subred conectada que el espacio de direcciones 10.1.1.0/24.
WebUI
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :
Network Address / Netmask: 10.2.1.5/32
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 0.0.0.0
CLI
set vrouter trust-vr route 10.2.1.5/32 interface ethernet3
save
Nota: Dado que esta ruta es necesaria para alcanzar cualquier dirección en la subred 10.2.1.0/24, probablemente
ya la haya configurado. En tal caso, no es necesario agregar ninguna ruta adicional sólo para que la directiva
aplique NAT-dst a 10.2.1.5.
(Dispositivo virtual)
10.1.1.0/24 10.2.1.0/24
10.2.1.250/24
WebUI
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :
Network Address / Netmask: 10.2.1.0/24
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 10.1.1.250
CLI
set vrouter trust-vr route 10.2.1.0/24 interface ethernet3 gateway 10.1.1.250
save
Destino
traducido
ethernet3 10.1.1.5
10.1.1.1/24
Nota: La zona Untrust no se muestra.
10.1.1.0/24
Zona Trust
10.2.1.0/24
(Dispositivo virtual)
ethernet4
10.2.1.1/24 Destino original
“oda1”
10.2.1.5
D spos vo v ua
Ne Screen
Or gen e herne 3 1 1 1 1 24 Un rus Des no or g na Des no raduc do
2 2 2 5 36104 e herne 2 10 1 1 1 24 DMZ 1 2 1 5 80 10 1 1 5 80
ethernet3 ethernet2
1.1.1.1/24 10.2.1.1/24 (Dispositivo virtual)
Zona Untrust
Origen Destino
2.2.2.5 traducido
Zona DMZ 10.2.1.8
IP ORIG IP DEST PTO ORIG PTO DEST PROTO IP ORIG IP DEST PTO ORIG PTO DEST PROTO
2.2.2.5 1.2.1.8 25611 80 HTTP 2.2.2.5 10.2.1.8 25611 80 HTTP
IP ORIG IP DEST PTO ORIG PTO DEST PROTO IP ORIG IP DEST PTO ORIG PTO DEST PROTO
2.2.2.5 1.2.1.8 40365 21 FTP 2.2.2.5 10.2.1.8 40365 21 FTP
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :
Zone Name: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK :
Zone Name: DMZ
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.2.1.1/24
2. Dirección
Objects > Addresses > List > New: Introduzca la siguiente información y haga clic en OK :
Address Name: oda2
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.1.8/32
Zone: DMZ
3. Grupo de servicios
Objects > Services > Groups: Introduzca el siguiente nombre de grupo, mueva los siguientes servicios y
haga clic en OK :
Group Name: HTTP-FTP
Seleccione HTTP y utilice el botón << para mover el servicio de la columna
“Available Members” a la columna “Group Members”.
4. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address / Netmask: 1.2.1.8/32
Gateway: (seleccione)
Interface: ethernet2
Gateway IP Address: 0.0.0.0
5. Directiva
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), oda2
Service: HTTP-FTP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Destination Translation: (seleccione)
Translate to IP: (seleccione), 10.2.1.8
Map to Port: (anule la selección)
CLI
1. Interfaces
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2.2.2.5:25611
(Dispositivo
2.2.2.5:40365 virtual)
Destino Destino
Origen traducido traducido
10.2.1.9:21 10.2.1.8:80
IP ORIG IP DEST PTO ORIG PTO DEST PROTO IP ORIG IP DEST PTO ORIG PTO DEST PROTO
2.2.2.5 1.2.1.8 25611 80 HTTP 2.2.2.5 10.2.1.8 25611 80 HTTP
IP ORIG IP DEST PTO ORIG PTO DEST PROTO IP ORIG IP DEST PTO ORIG PTO DEST PROTO
2.2.2.5 1.2.1.8 40365 21 FTP 2.2.2.5 10.2.1.9 40365 21 FTP
Asociará ethernet3 a la zona Untrust y le asignará la dirección IP 1.1.1.1/24. Asociará ethernet2 a DMZ y le
asignará la dirección IP 10.2.1.1/24. También definirá una ruta a la dirección de destino original 1.2.1.8 a través de
ethernet2. Las zonas Untrust y DMZ se encuentran en el dominio de enrutamiento trust-vr.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :
Zone Name: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK :
Zone Name: DMZ
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.2.1.1/24
2. Dirección
Objects > Addresses > List > New: Introduzca la siguiente información y haga clic en OK :
Address Name: oda3
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.1.8/32
Zone: DMZ
3. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address / Netmask: 1.2.1.8/32
Gateway: (seleccione)
Interface: ethernet2
Gateway IP Address: 0.0.0.0
4. Directivas
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), oda3
Service: HTTP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Destination Translation: (seleccione)
Translate to IP: (seleccione), 10.2.1.8
Map to Port: (anule la selección)
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), oda3
Service: FTP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Destination Translation: (seleccione)
Translate to IP: (seleccione), 10.2.1.9
Map to Port: (anule la selección)
CLI
1. Interfaces
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet2 zone dmz
set interface ethernet2 ip 10.2.1.1/24
2. Dirección
set address dmz oda3 1.2.1.8/32
3. Ruta
set vrouter trust-vr route 1.2.1.8/32 interface ethernet2
4. Directivas
set policy from untrust to dmz any oda3 http nat dst ip 10.2.1.8 permit
set policy from untrust to dmz any oda3 ftp nat dst ip 10.2.1.9 permit
save
IP ORIG IP DEST PTO ORIG PTO DEST PROTO IP ORIG IP DEST PTO ORIG PTO DEST PROTO
1.1.1.5 1.2.1.10 25611 80 HTTP 1.1.1.5 10.2.1.15 25611 80 HTTP
IP ORIG IP DEST PTO ORIG PTO DEST PROTO IP ORIG IP DEST PTO ORIG PTO DEST PROTO
1.1.1.6 1.2.1.20 40365 80 HTTP 1.1.1.6 10.2.1.15 40365 80 HTTP
Asociará ethernet3 a la zona Untrust y le asignará la dirección IP 1.1.1.1/24. Asociará ethernet2 a DMZ y le
asignará la dirección IP 10.2.1.1/24. También definirá una ruta a las direcciones de destino originales 1.2.1.10 y
1.2.1.20 a través de ethernet2. Las zonas Untrust y DMZ se encuentran en el dominio de enrutamiento trust-vr.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :
Zone Name: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK :
Zone Name: DMZ
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.2.1.1/24
2. Direcciones
Objects > Addresses > List > New: Introduzca la siguiente información y haga clic en OK :
Address Name: oda4
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.1.10/32
Zone: DMZ
Objects > Addresses > List > New: Introduzca la siguiente información y haga clic en OK :
Address Name: oda5
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.1.20/32
Zone: DMZ
Objects > Addresses > Groups > (para Zone: DMZ) New: Introduzca el siguiente nombre de grupo, mueva
las siguientes direcciones y haga clic en OK :
Group Name: oda45
Seleccione oda4 y utilice el botón << para trasladar la dirección de la
columna “Available Members” a la columna “Group Members”.
Seleccione oda5 y utilice el botón << para trasladar la dirección de la
columna “Available Members” a la columna “Group Members”.
3. Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address / Netmask: 1.2.1.10/32
Gateway: (seleccione)
Interface: ethernet2
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address / Netmask: 1.2.1.20/32
Gateway: (seleccione)
Interface: ethernet2
Gateway IP Address: 0.0.0.0
4. Directiva
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), oda45
Service: HTTP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Destination Translation: (seleccione)
Translate to IP: (seleccione), 10.2.1.15
Map to Port: (anule la selección)
CLI
1. Interfaces
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
Una vea configuradas estas dos directivas, los siguientes tipos de tráfico enviados desde un host en zoneA a un
host en zoneB evitan el mecanismo de NAT-dst:
• Un host de zoneA inicia tráfico no HTTP hacia 10.1.1.37 en la zona B. El dispositivo NetScreen aplica la
directiva 2 porque el servicio no es HTTP, y entrega el tráfico sin traducir la dirección de destino.
• Un host de zoneA inicia tráfico HTTP hacia 10.1.1.51 en la zona B. El dispositivo NetScreen también aplica
la directiva 2 porque la dirección de destino no pertenece al grupo de direcciones addr1-50, y entrega el
tráfico sin traducir la dirección de destino.
Asociará ethernet3 a la zona Untrust y le asignará la dirección IP 1.1.1.1/24. Asociará ethernet2 a DMZ y le
asignará la dirección IP 10.2.1.1/24. También definirá una ruta a la dirección de destino original (1.2.1.0/24) a través
de ethernet2. Las zonas Untrust y DMZ se encuentran en el dominio de enrutamiento trust-vr.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :
Zone Name: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK :
Zone Name: DMZ
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.2.1.1/24
2. Dirección
Objects > Addresses > List > New: Introduzca la siguiente información y haga clic en OK :
Address Name: oda6
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.1.0/24
Zone: DMZ
3. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address / Netmask: 1.2.1.0/24
Gateway: (seleccione)
Interface: ethernet2
Gateway IP Address: 0.0.0.0
4. Directiva
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), oda6
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Destination Translation: (seleccione)
Translate to IP Range: (seleccione), 10.2.1.0 – 10.2.1.254
CLI
1. Interfaces
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
Nota: NetScreen no admite la asignación de puertos para NAT-dst con desplazamiento de direcciones. Consulte
“NAT-Dst: Asignación “n:n”” en la página 60.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :
Zone Name: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
2. Dirección
Objects > Addresses > List > New: Introduzca la siguiente información y haga clic en OK :
Address Name: oda7
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.1.15/32
Zone: DMZ
3. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address / Netmask: 1.2.1.15/32
Gateway: (seleccione)
Interface: ethernet2
Gateway IP Address: 0.0.0.0
4. Directivas
Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), oda7
Service: Telnet
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Destination Translation: (seleccione)
Translate to IP: (seleccione), 10.2.1.15
Map to Port: (seleccione), 2200
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), oda7
Service: Telnet
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Destination Translation: (seleccione)
Translate to IP: (seleccione), 10.2.1.15
Map to Port: (seleccione), 2200
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
2. Las VPNs basadas en directivas no admiten NAT-dst. Deberá utilizar una configuración de VPN basada en rutas con NAT-dst.
3. Para obtener más información sobre el desplazamiento de direcciones al realizar NAT-dst, consulte “NAT-Dst: Asignación “n:n”” en la página 60.
Las configuraciones para ambos túneles—vpn1 y vpn2—utilizan los parámetros siguientes: AutoKey IKE, clave
previamente compartida (“netscreen1” para vpn1 y “netscreen2” para vpn2), así como el nivel de seguridad
predefinido como “Compatible” para propuestas de Fase 1 y Fase 2. (Para ver los detalles sobre estas propuestas,
consulte “Negociación de túnel” en la página 5 -11). La identificación del proxy tanto para vpn1 como para vpn2 es
0.0.0.0/0 - 0.0.0.0/0 - any.
Nota: La configuración para NetScreen-1 se proporciona en primer lugar. Después se incluyen las configuraciones
de VPN para NetScreen-A y NetScreen-B.
NetScreen-1
tunnel.1, 10.173.10.1/30
NAT-src
Los clientes con direcciones IP de origen
diferentes se conectan a los servidores de un • Conjunto de DIP 10.173.10.2 – 10.173.10.2
proveedor de servicios a través de túneles VPN. NAT-dst NetScreen-A
• Destino original 10.173.20.0/24 Untrust 2.2.2.2/24, Trust 10.100.1.1/24
• Destino traducido 10.173.30.0/24 tunnel.1, 10.2.2.1/24
NAT-dst
Direcciones ethernet1 ethernet3 • Destino original 10.173.30.0/24
de clientes 10.1.1.1/24 1.1.1.1/24 • Destino traducido 10.100.1.0/24
10.100.1.0/24 NetScreen-A
vpn1
10.100.1.0/24
10.100.2.0/24
vpn2 NetScreen-B
10.100.3.0/24 10.100.2.0/24
NetScreen-1
Zona Trust Zona Untrust
Enrutador
NetScreen-B
Untrust 3.3.3.3/24, Trust 10.100.2.1/24
El dispositivo NetScreen realiza NAT-src y NAT-dst NetScreen-1 tunnel.1, 10.3.3.1/24
porque usted, como administrador de NetScreen-1, tunnel.2, 10.173.10.5/30 NAT-dst
no tiene ningún control sobre las direcciones de NAT-src • Destino original 10.173.50.0/24
origen y de destino. Mientras haya un espacio de • Conjunto de DIP 10.173.10.6 –
direcciones mutuamente neutral para traducir • Destino traducido 10.100.2.0/24
10.173.10.6
direcciones entrantes y salientes, NetScreen-1 podrá NAT-dst
procesar las peticiones de servicio de los clientes.
• Destino original 10.173.40.0/24
Los dos dispositivos NetScreen que protegen las • Destino traducido 10.173.50.0/24
granjas de servidores también realizan NAT-dst para
conservar la independencia y flexibilidad de
direccionamiento.
WebUI (NetScreen-1)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :
Zone Name: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
2. Conjuntos de DIP
Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los siguientes datos y haga clic en OK :
ID: 5
IP Address Range: (seleccione), 10.173.10.2 ~ 10.173.10.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
Network > Interfaces > Edit (para tunnel.2) > DIP > New: Introduzca los siguientes datos y haga clic en OK :
ID: 6
IP Address Range: (seleccione), 10.173.10.6 ~ 10.173.10.6
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
3. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :
Address Name: serverfarm-A
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.173.20.0/24
Zone: Untrust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :
Address Name: serverfarm-B
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.173.40.0/24
Zone: Untrust
4. VPNs
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :
VPN Name: vpn1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway: (seleccione)
Gateway Name: gw-A
Type: Static IP: (seleccione), Address/Hostname: 2.2.2.2
Preshared Key: netscreen1
Security Level: Compatible
4
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en
Return para regresar a la página de configuración básica de AutoKey IKE:
Bind to Tunnel Interface: (seleccione), tunnel.1
Proxy-ID: (seleccione)
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0/0
Service: ANY
4. La interfaz de salida no necesita estar en la misma zona a la que está asociada la interfaz del túnel, aunque en este caso se encuentran en la misma zona.
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :
VPN Name: vpn2
Security Level: Compatible
Remote Gateway: Create a Simple Gateway: (seleccione)
Gateway Name: gw-B
Type: Static IP: (seleccione), Address/Hostname: 3.3.3.3
Preshared Key: netscreen2
Security Level: Compatible
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en
Return para regresar a la página de configuración básica de AutoKey IKE:
Bind to Tunnel Interface: (seleccione), tunnel.2
Proxy-ID: (seleccione)
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0/0
Service: ANY
5. Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address / Netmask: 10.173.20.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address / Netmask: 10.173.30.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address / Netmask: 10.173.40.0/24
Gateway: (seleccione)
Interface: tunnel.2
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address / Netmask: 10.173.50.0/24
Gateway: (seleccione)
Interface: tunnel.2
Gateway IP Address: 0.0.0.0
6. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), serverfarm-A
Service: ANY
Action: Permit
Position at Top: (seleccione)
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en
Return para regresar a la página de configuración básica de Policy:
NAT:
Source Translation: (seleccione)
(DIP on): 5 (10.173.10.2–10.173.10.2)/X-late
Destination Translation: (seleccione)
Translate to IP Range: (seleccione), 10.173.30.0 –
10.173.30.255
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), serverfarm-B
Service: ANY
Action: Permit
Position at Top: (seleccione)
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en
Return para regresar a la página de configuración básica de Policy:
NAT:
Source Translation: (seleccione)
(DIP on): 6 (10.173.10.6–10.173.10.6)/X-late
Destination Translation: (seleccione)
Translate to IP Range: (seleccione), 10.173.50.0 –
10.173.50.255
CLI (NetScreen-1)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
WebUI (NetScreen-A)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :
Zone Name: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.100.1.1/24
2. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :
Address Name: serverfarm-A
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.173.30.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :
Address Name: customer1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.173.10.2/32
Zone: Untrust
3. VPN
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :
VPN Name: vpn1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway: (seleccione)
Gateway Name: gw-1
Type: Static IP: (seleccione), Address/Hostname: 1.1.1.1
Preshared Key: netscreen1
Security Level: Compatible
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en
Return para regresar a la página de configuración básica de AutoKey IKE:
Bind to Tunnel Interface: (seleccione), tunnel.1
Proxy-ID: (seleccione)
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0/0
Service: ANY
4. Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.250
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address / Netmask: 10.173.10.2/32
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address / Netmask: 10.173.30.0/24
Gateway: (seleccione)
Interface: ethernet1
Gateway IP Address: 0.0.0.0
5. Directiva
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), customer1
Destination Address:
Address Book Entry: (seleccione), serverfarm-A
Service: ANY
Action: Permit
Position at Top: (seleccione)
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en
Return para regresar a la página de configuración básica de Policy:
NAT:
Destination Translation: (seleccione)
Translate to IP Range: (seleccione), 10.100.1.0 –
10.100.1.255
CLI (NetScreen-A)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.100.1.1/24
set interface ethernet1 nat
WebUI (NetScreen-B)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :
Zone Name: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.100.2.1/24
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :
Address Name: customer1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.173.10.6/32
Zone: Untrust
3. VPN
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :
VPN Name: vpn1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway: (seleccione)
Gateway Name: gw-1
Type: Static IP: (seleccione), Address/Hostname: 1.1.1.1
Preshared Key: netscreen2
Security Level: Compatible
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en
Return para regresar a la página de configuración básica de AutoKey IKE:
Bind to Tunnel Interface: (seleccione), tunnel.1
Proxy-ID: (seleccione)
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0/0
Service: ANY
4. Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 3.3.3.250
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address / Netmask: 10.173.10.6/32
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address / Netmask: 10.173.50.0/24
Gateway: (seleccione)
Interface: ethernet1
Gateway IP Address: 0.0.0.0
5. Directiva
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), customer1
Destination Address:
Address Book Entry: (seleccione), serverfarm-B
Service: ANY
Action: Permit
Position at Top: (seleccione)
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en
Return para regresar a la página de configuración básica de Policy:
NAT:
Destination Translation: (seleccione)
Translate to IP Range: (seleccione), 10.100.2.0 –
10.100.2.255
CLI (NetScreen-B)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.100.2.1/24
set interface ethernet1 nat
DIRECCIONES IP ASIGNADAS
Una dirección IP asignada (MIP) es una asignación directa (“1:1”) de una dirección IP a otra. El dispositivo
NetScreen reenvía el tráfico entrante destinado a una MIP al host a cuya dirección apunta la MIP. En esencia, una
MIP es la traducción de una dirección de destino estática, la correspondencia de una dirección IP de destino en un
encabezado de paquete IP con otra dirección IP estática. Cuando un host de MIP inicia tráfico saliente, el
dispositivo NetScreen traduce la dirección IP de origen del host a la correspondiente a la dirección MIP. Esta
simetría de la traducción bidireccional difiere del comportamiento de la traducción de direcciones de origen y de
destino (consulte “Naturaleza direccional de NAT-Src y NAT-Dst” en la página 13).
Las MIPs permiten que el tráfico entrante alcance las direcciones privadas de una zona cuya interfaz se encuentra
en modo NAT. Las MIPs también proporcionan una solución parcial al problema de la superposición de espacios de
direcciones1 en dos sitios conectados mediante un túnel VPN. (Para ver la solución completa a este problema,
consulte “Sitios VPN con direcciones superpuestas” en la página 5 -203).
Puede crear una MIP en la misma subred que una interfaz de túnel con una dirección IP o máscara de red, o bien
en la misma subred que la dirección IP o máscara de red de una interfaz asociada a una zona de seguridad de capa
3 (L3)2. Aunque las MIPs se configuran para interfaces asociadas a zonas de túnel y a zonas de seguridad, las
MIPs definidas se almacenan en la zona Global.
Mapped IP: El tráfico Nota: La MIP (1.1.1.5) se
Espacio de encuentra en la misma subred
entrante desde la zona direcciones
Untrust se asigna de que la interfaz de la zona
público Zona Untrust (1.1.1.1/24), pero está
210.1.1.5 a 10.1.1.5 en Internet
la zona Trust. Untrust en otra zona.
Interfaz de la zona Untrust MIP 1.1.1.5 -> 10.1.1.5
ethernet3, 1.1.1.1/24 Zona
interfaz de la zona Trust Global
ethernet1, 10.1.1.1/24
modo NAT Zona
Trust
Espacio de 10.1.1.5
direcciones
privado
1. Un espacio de direcciones superpuesto se produce cuando los rangos de direcciones IP de dos redes coinciden parcial o totalmente.
2. Una excepción es una MIP definida para una interfaz en la zona Untrust. Esa MIP puede encontrarse en una subred diferente de una dirección IP de interfaz
de la zona Untrust. Sin embargo, en tal caso deberá agregar una ruta en el enrutador externo que apunte a una interfaz de la zona Untrust para que el tráfico
entrante pueda alcanzar la MIP. Asimismo, deberá definir una ruta estática en el dispositivo NetScreen asociando la MIP a la interfaz que la alberga.
Nota: En algunos dispositivos NetScreen, una MIP puede utilizar la misma dirección que una interfaz, pero una
dirección MIP no puede encontrarse en un conjunto de DIP.
Puede asignar una relación de “dirección a dirección” o de “subred a subred”. Cuando se define una configuración
de direcciones IP “subred a subred”, la máscara de red se aplica tanto a la subred de direcciones IP asignadas
como a la subred IP original.
Nota: Para una dirección IP asignada o para el host al que apunta no se requiere ninguna entrada en la libreta de
direcciones.
Zona Untrust
Internet
MIP 1.1.1.5 -> 10.1.1.5
(configurada en ethernet2)
Interfaz de la zona Untrust
ethernet2, 1.1.1.1/24 1
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :
Zone Name: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
2. MIP
Network > Interfaces > Edit (para ethernet2) > MIP > New: Introduzca los siguientes datos y haga clic en
OK :
Mapped IP: 1.1.1.5
Netmask: 255.255.255.255
Host IP Address: 10.1.1.5
Host Virtual Router Name: trust-vr
3. Directiva
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.1.5)
Service: HTTP
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone untrust
set interface ethernet2 ip 1.1.1.1/24
2. MIP
3
set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255
4
vrouter trust-vr
3. Directiva
set policy from untrust to trust any mip(1.1.1.5) http permit
save
3. De forma predeterminada, la máscara de red de una MIP es de 32 bits (255.255.255.255), asignando la dirección a un solo host. También puede definir
una MIP para un rango de direcciones. Por ejemplo, para definir 1.1.1.5 como MIP para las direcciones 10.1.10.129 a 10.1.10.254 dentro de una subred de
clase C mediante la interfaz de línea de comandos (CLI), utilice la sintaxis siguiente: set interface interface mip 1.1.1.5 host 10.1.10.128 netmask
255.255.255.128 . Tenga cuidado de no utilizar un rango de direcciones que incluya las direcciones de la interfaz o del enrutador.
4. El enrutador virtual predeterminado es trust-vr. No es necesario especificar que el enrutador virtual es trust-vr ni que la MIP tiene una máscara de red de
32 bits. Estos argumentos se incluyen en este comando por coherencia con la configuración de WebUI.
Nota: Deberá introducir una ruta en el enrutador de la zona “X-Net” que dirija el tráfico destinado a 1.1.1.5 (MIP) a
1.3.3.1 (dirección IP de ethernet3).
5. Si la MIP se encuentra en la misma subred que la interfaz en la cual fue configurada, no es necesario agregar una ruta al dispositivo NetScreen para que
el tráfico alcance la MIP a través de otra interfaz. Sin embargo, si la MIP se encuentra en una subred distinta que la dirección IP de su interfaz (lo cual sólo
es posible con una MIP en una interfaz de la zona Untrust), es necesario agregar una ruta estática a la tabla de enrutamiento de NetScreen. Utilice el
comando set vrouter name_str route ip_addr interface interface (o su equivalente en WebUI), donde name_str es el enrutador virtual al que pertenece la
interfaz especificada, e interface es la interfaz en la que se configuró la MIP.
Zona Untrust Zona X-Net Nota: Deberá agregar una ruta a este
enrutador que apunte a 1.3.3.1 para
Internet alcanzar 1.1.1.5.
WebUI
1. Interfaces y zonas
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK :
Zone Name: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK :
Zone Name: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 1.1.1.1/24
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK :
Zone Name: X-Net
Virtual Router Name: untrust-vr
Zone Type: Layer 3
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :
Zone Name: X-Net
IP Address/Netmask: 1.3.3.1/24
2. Dirección
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :
Address Name: 1.1.1.5
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.5/32
Zone: Untrust
3. MIP
Network > Interfaces > Edit (para ethernet2) > MIP > New: Introduzca los siguientes datos y haga clic en OK :
Mapped IP: 1.1.1.5
Netmask: 255.255.255.255
Host IP Address: 10.1.1.5
Host Virtual Router Name: trust-vr
4. Directivas
Policies > (From: X-Net, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), 1.1.1.5
Service: HTTP
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.1.5)
Service: HTTP
Action: Permit
CLI
1. Interfaces y zonas
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
6. De forma predeterminada, la máscara de red de una MIP es de 32 bits (255.255.255.255) y el enrutador virtual predeterminado es trust-vr. No es necesario
especificar estos datos en el comando. Estos argumentos se incluyen aquí por coherencia con la configuración de WebUI.
Nota: Cuando el administrador remoto agrega la dirección del servidor en su libreta de direcciones de la zona
Untrust, debe introducir la MIP (10.20.3.25), no la dirección IP física del servidor (10.1.1.25).
El administrador remoto también debe aplicar NAT-src basada en directivas (utilizando DIP) en los paquetes
salientes dirigidos al servidor a través de la VPN, para que el administrador local pueda agregar una dirección de la
zona Untrust que no esté en conflicto con las direcciones locales de la zona Trust. De lo contrario, la dirección de
origen en la directiva de tráfico entrante parecería estar en la zona Trust.
7. De forma predeterminada, la máscara de red de una MIP es de 32 bits (255.255.255.255) y el enrutador virtual predeterminado es trust-vr. No es necesario
especificar estos datos en el comando. Estos argumentos se incluyen aquí por coherencia con la configuración de WebUI.
MIP-Same-as-Untrust
Dado que las direcciones IPv4 se están agotando, los proveedores de servicios de Internet (ISPs) son cada vez
más reacios a dar más de una o dos direcciones IP a sus clientes. Si solamente dispone de una dirección IP para la
interfaz asociada a la zona Untrust (ya que la interfaz asociada a la zona Trust está en modo de traducción de
direcciones de red o NAT), puede utilizar la dirección IP de la interfaz de la zona Untrust como dirección IP
asignada (MIP) para proporcionar acceso entrante a un servidor o host interno, o bien a un punto final del túnel VPN
o L2TP.
Una MIP asigna el tráfico entrante a otra dirección el tráfico entrante a una dirección; por lo tanto, al utilizar la
dirección IP de la interfaz de la zona Untrust como MIP, el dispositivo NetScreen asigna a una dirección interna
especificada todo el tráfico entrante que utilice la interfaz de la zona Untrust. Si la MIP de la interfaz Untrust está
asignada a un punto final del túnel VPN o L2TP, el dispositivo reenvía automáticamente los paquetes IKE o L2TP
entrantes al punto final del túnel, siempre que no haya ningún túnel VPN o L2TP configurado en la interfaz de
Untrust.
Si crea una directiva en la cual la dirección de destino sea una MIP que utilice la dirección IP de la interfaz de la
zona Untrust y especifica HTTP como servicio en la directiva, perderá la administración web del dispositivo
NetScreen a través de esa interfaz (debido a que todo el tráfico HTTP entrante dirigido a esa dirección está
asignado a un servidor o host interno). Aún así podrá administrar el dispositivo a través de la interfaz de la zona
Untrust mediante WebUI, cambiando el número de puerto para la administración web. Para cambiar el número de
puerto de administración web, haga lo siguiente:
1. Admin > Web: Introduzca un número de puerto registrado (de 1024 a 65.535) en el campo “HTTP Port”.
Haga clic en Apply .
2. Cuando se conecte de nuevo a la interfaz de la zona Untrust para administrar el dispositivo, agregue el
número de puerto a la dirección IP; por ejemplo, http://209.157.66.170:5000.
2. Puerto HTTP
Configuration > Admin > Management: Escriba 8080 en el campo “HTTP Port” y haga clic en Apply .
(La conexión HTTP se perderá).
8. De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estará en modo NAT. Por lo tanto, esta opción ya está habilitada para las
interfaces asociadas a la zona Trust.
3. Reconexión
Vuelva a conectarse al dispositivo NetScreen, agregando 8080 a la dirección IP en el campo de la dirección
URL de su explorador web. (Si actualmente está administrando el dispositivo a través de la interfaz Untrust,
escriba http://1.1.1.1:8080 ).
4. MIP
Network > Interface > Edit (para ethernet3) > MIP > New: Introduzca los siguientes datos y haga clic en OK :
Mapped IP: 1.1.1.1
9
Netmask: 255.255.255.255
Host IP Address: 10.1.1.5
Host Virtual Router Name: trust-vr
5. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
6. Directiva
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.1.1)
Service: HTTP
Action: Permit
9. La máscara de red de una MIP que utilice una dirección IP de la interfaz de la zona Untrust debe ser de 32 bits.
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
10. De forma predeterminada, la máscara de red de una MIP es de 32 bits (255.255.255.255) y el enrutador virtual predeterminado es trust-vr. No es necesario
especificar estos datos en el comando. Estos argumentos se incluyen aquí por coherencia con la configuración de WebUI.
Zona Untrust
Interlocutor de VPN Interfaz de la Interlocutor de VPN
zona Untrust
Túneles VPN El tráfico de ambas VPNs
puede alcanzar la dirección
Interfaces de túnel: MIP en la interfaz loopback.
Miembros del grupo
de la interfaz loopback Dirección MIP
(definida en la
interfaz de bucle
invertido pero
almacenada en la
Interfaz de la Interfaz de bucle zona Global)
zona Trust invertido
(en la zona Untrust)
El tráfico procedente de la dirección
MIP sale a través de la interfaz de la
Zona Trust zona Trust al host MIP.
Host MIP
Puede imaginar la interfaz de bucle invertido como un contenedor de recursos que contiene una dirección MIP.
Deberá configurar una interfaz de bucle invertido con el nombre loopback.id_num (donde id_num corresponde al
número de identificación que permite identificar de forma inequívoca la interfaz en el dispositivo) y asignar una
dirección IP a la interfaz (consulte “Interfaces loopback” en la página 2 -76). Para permitir que otras interfaces
puedan utilizar una MIP en la interfaz de bucle invertido, agregue las interfaces como miembros del grupo de bucle
invertido.
La interfaz de bucle invertido y las interfaces quela forman deben encontrarse en diferentes subredes IP de la
misma zona. Cualquier tipo de interfaz puede ser miembro de un grupo de bucle invertido siempre que tenga una
dirección IP. Si configura una MIP en una interfaz de bucle invertido y en una de las interfaces que la componen, la
configuración de la interfaz loopback tendrá preferencia. Una interfaz de bucle invertido no puede formar parte de
otro grupo de bucle invertido.
Zona Trust
Host MIP
10.1.1.5
Cuando un paquete destinado a 10.100.1.5 llega a través de un túnel VPN a tunnel.1, el dispositivo NetScreen
busca la MIP en la interfaz de bucle invertido denominada loopback.3. Cuando encuentra una coincidencia en
loopback.3, el dispositivo NetScreen traduce la IP original de destino (10.100.1.5) a la dirección IP del host
(10.1.1.5) y reenvía el paquete a través de ethernet1 al host MIP. El tráfico destinado a 10.100.1.5 también puede
llegar a través de un túnel VPN asociado a tunnel.2. De nuevo, el dispositivo NetScreen encuentra una coincidencia
en loopback.3 y traduce la IP de destino original 10.100.1.5 a 10.1.1.5 y reenvía el paquete al host MIP.
También definirá las direcciones, rutas, directivas y túneles VPN necesarios para completar la configuración. Todas
las zonas de seguridad se encuentran en el dominio de enrutamiento trust-vr.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :
Zone Name: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
11. De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estará en modo NAT. Por lo tanto, esta opción ya está habilitada para las
interfaces asociadas a la zona Trust.
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en Apply :
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Fixed IP: (seleccione)
IP Address / Netmask: 10.10.1.1/24
2. MIP
Network > Interfaces > Edit (para loopback.3) > MIP > New: Introduzca los siguientes datos y haga clic en
OK :
Mapped IP: 10.100.1.5
Netmask: 255.255.255.255
Host IP Address: 10.1.1.5
Host Virtual Router Name: trust-vr
3. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :
Address Name: local_lan
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :
Address Name: peer-1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.1.0/24
Zone: Untrust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :
Address Name: peer-2
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.3.1.0/24
Zone: Untrust
4. VPNs
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :
VPN Name: vpn1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway: (seleccione)
Gateway Name: gw1
Type: Static IP: (seleccione), Address/Hostname: 2.2.2.2
Preshared Key: netscreen1
Security Level: Compatible
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en
Return para regresar a la página de configuración básica de AutoKey IKE:
Bind to Tunnel Interface: (seleccione), tunnel.1
Proxy-ID: (seleccione)
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0/0
Service: ANY
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :
VPN Name: vpn2
Security Level: Compatible
Remote Gateway: Create a Simple Gateway: (seleccione)
Gateway Name: gw2
Type: Static IP: (seleccione), Address/Hostname: 3.3.3.3
Preshared Key: netscreen2
6. Directivas
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), peer-1
Destination Address:
Address Book Entry: (seleccione), MIP(10.100.1.5)
Service: ANY
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), peer-2
Destination Address:
Address Book Entry: (seleccione), MIP(10.100.1.5)
Service: ANY
Action: Permit
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), local_lan
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
12. De forma predeterminada, la máscara de red de una MIP es de 32 bits (255.255.255.255) y el enrutador virtual predeterminado es trust-vr. No es necesario
especificar estos datos en el comando. Estos argumentos se incluyen aquí por coherencia con la configuración de WebUI.
4. VPNs
set ike gateway gw1 address 2.2.2.2 outgoing-interface ethernet3 preshare
netscreen1 sec-level compatible
set vpn vpn1 gateway gw1 sec-level compatible
set vpn vpn1 bind interface tunnel.1
set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
DIRECCIONES IP VIRTUALES
Una dirección IP virtual IP (VIP) asigna el tráfico recibido en una dirección IP a otra dirección basándose en el
número del puerto de destino que figura en el encabezado del segmento TCP o UDP. Por ejemplo:
• Un paquete HTTP destinado a 1.1.1.3:80 (dirección IP 1.1.1.3 y puerto 80) podría asignarse a un servidor
web en 10.1.1.10.
• Un paquete FTP destinado a 1.1.1.3:21 podría asignarse a un servidor FTP en 10.1.1.20.
• Un paquete SMTP destinado a 1.1.1.3:25 podría asignarse a un servidor de correo en 10.1.1.30.
Los direcciones IP de destino son iguales. Los números de los puertos de destino determinan a qué host debe
reenviar el tráfico el dispositivo NetScreen.
Servidor web
Zona Untrust Zona Global Zona Trust 10.1.1.10
Servidor FTP
HTTP (80) FTP (21) 10.1.1.20
Internet
VIP
1.1.1.3 SMTP (25)
Servidor de
correo
Interfaz de la zona Untrust Interfaz de la zona Trust 10.1.1.30
eth3, 1.1.1.1/24 eth1, 1.2.2.1/24
El dispositivo NetScreen reenvía el tráfico entrante destinado a una VIP al host a cuya dirección apunta la VIP. Sin
embargo, cuando un host VIP inicia tráfico saliente, el dispositivo NetScreen traduce solamente la dirección IP de
origen original a otra dirección si previamente se configuró NAT en la interfaz de entrada o NAT-src en una directiva
aplicable al tráfico originado en ese host. En caso contrario, el dispositivo NetScreen no traduce la dirección IP de
origen en el tráfico procedente de un host VIP.
Nota: En una interfaz de la zona Untrust solamente se puede establecer una VIP.
13. En algunos dispositivos NetScreen, una interfaz en la zona Untrust puede recibir su dirección IP dinámicamente a través de DHCP o PPPoE. Si desea
utilizar una VIP de este modo, ejecute cualquiera de los siguientes procedimientos: En WebUI (Network > Interfaces > Edit (para una interfaz en la zona
Untrust) > VIP: Si configura una VIP para que utilice la misma dirección IP que una interfaz de la zona Untrust en un dispositivo NetScreen que admita
múltiples VIPs, las otras VIPs “normales” dejarán de ser utilizables. Si hay configurada alguna VIP normal, no podrá crear una VIP mediante una interfaz
de la zona Untrust salvo que elimine primero la VIP normal.
• Una sola VIP puede admitir servicios personalizados con múltiples entradas de puertos mediante la
creación de varias entradas de servicios bajo esa VIP (una por cada puerto en el servicio). De forma
predeterminada, en una VIP se pueden utilizar servicios de puerto único. Para poder utilizar servicios de
múltiples puertos en una VIP, primero debe ejecutar el comando CLI set vip multi -port , y enseguida
reiniciar el dispositivo NetScreen. (Consulte “Ejemplo: VIP con servicios personalizados y de múltiples
puertos” en la página 125).
• El host al que el dispositivo NetScreen asigne el tráfico VIP debe ser accesible desde trust-vr. Si el host se
encuentra en un dominio de enrutamiento distinto de trust-vr, debe definir una ruta para alcanzarlo.
14. Si desea que el tráfico HTTP procedente de una zona de seguridad distinta de la zona Untrust acceda a la VIP, debe establecer una ruta para 1.1.1.10 en
el enrutador y en la otra zona que apunte a una interfaz asociada a esa zona. Por ejemplo, suponga que ethernet2 está asociada a una zona definida por
el usuario y que ha configurado un enrutador en esa zona para que envíe a ethernet2 el tráfico destinado a 1.1.1.10. Una vez que el enrutador envía tráfico
a ethernet2, el mecanismo de reenvío del dispositivo NetScreen localiza la VIP en ethernet3, que lo asigna a 10.1.1.10 y lo envía a través de ethernet1 a
la zona Trust. Este proceso es similar al descrito en “Ejemplo: Acceder a una MIP desde diferentes zonas” en la página 97. También deberá establecer una
directiva que permita el tráfico HTTP procedente de la zona de origen a la VIP en la zona Trust.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :
Zone Name: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
2. VIP
Network > Interfaces > Edit (para ethernet3) > VIP: Introduzca la siguiente dirección y haga clic en Add :
Virtual IP Address: 1.1.1.10
Network > Interfaces > Edit (para ethernet3) > VIP > New VIP Service: Introduzca los siguientes datos y
haga clic en OK :
Virtual IP: 1.1.1.10
Virtual Port: 80
Map to Service: HTTP (80)
Map to IP: 10.1.1.10
3. Directiva
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), ANY
Destination Address:
Address Book Entry: (seleccione), VIP(1.1.1.10)
Service: HTTP
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
Servicio Transporte Número de puerto virtual Número de puerto real Dirección IP del
host
DNS TCP, UDP 53 53 10.1.1.3
HTTP TCP 80 80 10.1.1.4
PCAnywhere TCP, UDP 5631, 5632 5631, 5632 10.1.1.4
LDAP TCP, UDP 5983 389 10.1.1.5
Servidor LDAP:
10.1.1.5
LDAP 5983 -> 389
Interfaz de la zona Untrust Interfaz de la zona Trust
eth3, 1.1.1.1/24 eth1, 10.1.1.1/24
La VIP enruta (reenvía) las consultas DNS al servidor DNS en 10.1.1.3, el tráfico HTTP al servidor web en 10.1.1.4
y las comprobaciones de autenticación a la base de datos del servidor LDAP en 10.1.1.5. Para HTTP, DNS y
PCAnywhere, los números de puerto virtuales siguen siendo iguales que los números de puerto reales. Para LDAP,
se utiliza un número de puerto virtual (5983) para agregar un nivel adicional de seguridad al tráfico de autenticación
de LDAP.
Para administrar remotamente el servidor HTTP, definirá un servicio personalizado y lo llamará PCAnywhere.
PCAnywhere es un servicio de puertos múltiples que envía y recibe datos a través del puerto TCP 5631 y
comprobaciones de estado a través del puerto UDP 5632.
También introducirá la dirección del administrador remoto de 3.3.3.3 en la libreta de direcciones de la zona Untrust
y configurará directivas del tráfico desde la zona Untrust a la zona Trust para todo el tráfico que deba utilizar las
VIPs. Todas las zonas de seguridad se encuentran en el dominio de enrutamiento trust-vr.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :
Zone Name: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
3. Servicio personalizado
Object > Services > Custom > New: Introduzca los siguientes datos y haga clic en OK :
Service Name: PCAnywhere
No 1:
Transport Protocol: TCP
Source Port Low: 0
Source Port High: 65535
Destination Port Low: 5631
Destination Port High: 5631
No 2:
Transport Protocol: UDP
Source Port Low: 0
Source Port High: 65535
Destination Port Low: 5632
Destination Port High: 5632
15. Para habilitar la VIP de modo que pueda trabajar con servicios de múltiples puertos, deberá ejecutar el comando CLI set vip multi-port , guardar la
configuración y seguidamente reiniciar el dispositivo.
> New VIP Service: Introduzca los siguientes datos y haga clic en OK :
Virtual IP: 1.1.1.3
Virtual Port: 80
Map to Service: HTTP
Map to IP: 10.1.1.4
> New VIP Service: Introduzca los siguientes datos y haga clic en OK :
Virtual IP: 1.1.1.3
16
Virtual Port: 5631
Map to Service: PCAnywhere
Map to IP: 10.1.1.4
> New VIP Service: Introduzca los siguientes datos y haga clic en OK :
Virtual IP: 1.1.1.3
Virtual Port: 598317
Map to Service: LDAP
Map to IP: 10.1.1.5
16. Para servicios de múltiples puertos, introduzca el número de puerto más bajo del servicio como número de puerto virtual.
17. La utilización de números de puerto no estándar agrega otra capa de seguridad, desbaratando los ataques comunes que buscan servicios en los números
de puerto estándar.
5. Directivas
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), VIP(1.1.1.3)
Service: DNS
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), VIP(1.1.1.3)
Service: HTTP
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), VIP(1.1.1.3)
Service: LDAP
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), Remote Admin
Destination Address:
Address Book Entry: (seleccione), VIP(1.1.1.3)
Service: PCAnywhere
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
18. Para servicios de múltiples puertos, introduzca el número de puerto más bajo del servicio como número de puerto virtual.
Índice
A M desplazamiento de direcciones 25–30
desplazamiento de direcciones,
asignación de puertos 5, 36 MIP 92
consideraciones sobre el rango 25
alcanzable desde otras zonas 97
interfaz de salida 10, 31–33
C crear direcciones 94
crear en interfaz de zona 94
puerto fijo 17, 22–24
CLI traducción de direcciones de puertos 3
crear en una interfaz de túnel 102
convenciones iv traducción unidireccional 8, 13
definición 8
set vip multi -port 120 nombres
enrutador virtual predeterminado 96
conjuntos de caracteres compatibles con convenciones viii
máscara de red predeterminada 96
ScreenOS viii rango de direcciones 96
conjuntos de DIP same-as-untrust, interfaz 103–106 P
consideraciones sobre direcciones 16 traducción bidireccional 8 PAT 16
NAT-src 2 zona global 93 puertos
tamaño 16 números de puerto 128
convenciones N
CLI iv
NAT T
ilustración vii definición 2 traducción de direcciones
nombres viii NAT-src con NAT-dst 70–90 véase NAT, NAT-dst, y NAT-src
WebUI v NAT basada en directivas
crear
direcciones MIP 94
véase NAT-dst y NAT-src V
NAT-dst 36–90
VIP
asignación de puertos 5, 36, 65 alcanzable desde otras zonas 121
D con MIPs o VIPs 4 configuración 121
dirección IP asignada consideraciones sobre las rutas 37, 42–45 definición 8
véase MIP desplazamiento de direcciones 7, 37, 60 editar 124
flujo de paquetes 38–41 eliminar 124
direcciones IP
IP única con asignación de puerto 11 información necesaria 119
virtuales 118
IP única, sin asignación de puertos 11 servicios personalizados y multipuerto 125–
rango de direcciones 6
F rango de direcciones a IP única 12, 55
131
servicios personalizados, números de puerto
flujo de paquetes rango de direcciones a rango de bajos 119
NAT-dst 38–41 direcciones 12, 60 zona global 121
traducción “1:1” 46
I traducción “1:n” 51
traducción unidireccional 8, 13 W
ilustración WebUI
NAT-src 2, 16–33
convenciones vii convenciones v
basada en interfaces 3
interfaces conjunto de DIP con desplazamiento de
MIP 92 direcciones 10 Z
VIP 118 conjunto de DIP con PAT 9, 18–21 zona global 121
IP virtual conjunto de DIP, puerto fijo 9 zonas
véase VIP conjuntos de DIP 2 global 121