求救~Multiple Port Forwarding~ Juniper SSG5

各位先進們，目前小弟正在設定SSG5防火牆，因對外只有一個IP，但小弟需要對應至內部多台伺服器，上網爬文發現許多講到VIP之類的設定，但因為小弟單一伺服器需開啟多個連續Port，VIP的設定似乎只能設定一對一的Port，這幾天爬文卻找不到有關多Port的NAT設定………可否請哪位先進能為小弟解答~~~感謝~~~

2012-10-16 11:32 #1

HOPE000

174分

2樓

HOPE000

個人積分：174分

文章編號：39154499

clouds14 wrote:
各位先進們，目前小弟...(恕刪)

先新增一組VIP，你的IP只有一組的話就選與 Interface 相同

之後去新增PORT 物件

點剛剛那組 VIP 編輯

新增 PORT mapping

最後記得到 Policy Untrust > Trust 把你要的服務設成 Permit

clouds14

0分

樓主

clouds14

個人積分：0分

文章編號：39156244

太感謝這位先進的解答，爬網也找到許多VIP的設定方式，不過我要設定的內部機器有四台要對外，分別都有數百個連續Port要開，如果用VIP的設定方式，我勢必在Custom Service設定數百條才能在VIP一個一個打…………這……還蠻累的……有無別的方法？感謝

valsily

58分

4樓

valsily

個人積分：58分

文章編號：39157555

clouds14 wrote:
太感謝這位先進的解答...(恕刪)

沒用過Juniper的機器，不過照上面的截圖，PORT物件定義裡，port是可以指定範圍的，"幾百個連續PORT"不就是一個PORT物件就可以解決的事情?

HOPE000

174分

5樓

HOPE000

個人積分：174分

文章編號：39158544

valsily wrote:
沒用過Juniper...(恕刪)

Service Port 是可以設成範圍的 1000~2000 + 10000~20000 這樣
但是 DIP 裡的 Virtual Port 就 .... 一條一條來吧

這時候請愛用指令 ... 用 Execl 編輯匯入 Config 即可 ....

例如

set service "Service(port:81)" protocol tcp src-port 0-65535 dst-port 81-81
set service "Service(port:82)" protocol tcp src-port 0-65535 dst-port 82-82
set service "Service(port:83)" protocol tcp src-port 0-65535 dst-port 83-83

set interface bgroup0/1 vip 123.123.123.123 + 81 "Service(port:81)" 192.168.1.100
set interface bgroup0/1 vip 123.123.123.123 + 82 "Service(port:82)" 192.168.1.100
set interface bgroup0/1 vip 123.123.123.123 + 83 "Service(port:83)" 192.168.1.100

有問題再提出 .... 試試看吧