juniper防火牆端口映射

今天和大家說juniper防火牆端口映射

也算自己的小小成就啦！我用的是juniper ssg 140 其實配置幾乎都差不多！

好了廢話不多說，現在就讓我們開始吧！

 首先我們登陸到juniper防火牆控制界面 預設位址大家都知道（192.168.1.1）

預設使用者和密碼netsscreen

下面介紹登陸界面：

讓我們開始配置吧

依次展開policy → Policy Elements → Services → Custom 

下面是我建立的遠端桌面 點選建立New按鈕進入自定義服務添加頁面 

在Service Name處填寫自定義的服務名稱，在Transport protocol處選擇需要使用的協定，在Destination Port 處填寫自定義服務的目的端口，點選OK按鈕送出操作。

在上圖中，我們添加了了一個名為TCP的服務，它使用UDP協定，目的端口号為3311。 

這個是我們配置好的

現在我們應于接口上，我們就把内網位址映射到公網上下面就是我們需要做的

選擇菜單Network → Interfaces，找到Untrust 對應的端口名（圖中Untrust 對應的端口為ethernet0/8，點選右邊的Edit按鈕進入端口編輯頁面

 選擇VIP 點選進入配置界面

如果你有多個外網IP位址，你可以選擇填入你的Virtual IP Address，如果ISP隻提供給你一個外網IP位址或者你通過PPPOE方式獲得外網IP，你可以選擇Same as the untrusted interface IP address，點選Add按鈕送出。 然後點選建立VIP服務 New VTP Service

接下來我們就開始配置

點選Map to Service 找到剛才我們建立的服務，Map to IP這裡的IP就是需要映射的内網位址，記在下面的Enable 這個千萬不選上！然後選擇OK 就完成了。

剩下最後一步了，添加政策 允許外網能通路到内網的伺服器 點選Policy → Policies 建立

Source Address（源位址）從Address Book Entry中選擇Any，Destination Address（目的位址）從Address Book Entry中選擇相關的VIP服務，Service選擇自定義的服務。圖中目的位址我們選擇了之前添加的VIP(ethernet0/8)，Service選擇之前我們自定義的TCP-8899服務，完成後，點選OK按鈕送出。 

 這個是我們做好的服務，到現在我們的映射端口就已經完成了！

下面我們還一個簡單方法就是用指令建立 

set service 服務名稱 protocol 協定 src-port (0-65535)源端口範圍 dst-port 目的端口号 

set interface ethernet0/8 vip interface-ip 端口 端口名稱 映射位址 manual 

set policy id ID号 from 什麼地方 to 什麼地方  源端口 "VIP(ethernet0/8)"目的端口必須寫完整格式 服務名稱permit  log 

 如果要映射多個位址重複步驟就可以了，

這裡有一個提示：一個位址可以映射出多端口，一個端口隻能映射一個位址！

重要的我們一般都會用伺服器遠端端口3389 一個外網位址隻能映射一個伺服器

好了今天就到這裡了，請大家多多給批評，一起學習！一起進步,謝謝了