0

我的帖子

个人中心

设置

  发新话题
外网 10.71.173.178/24
网关 10.71.173.254
web server: 208.8.8.8/24
我想访问 10.71.173.178:8080 映射到 208.8.8.8:80
下面是我的配置,为什么访问不了, 大虾帮我看一下


## Last changed: 2012-11-21 10:27:49 UTC
version 11.2R4.3;
system {
    host-name srx240h;
    root-authentication {
        encrypted-password "$1$LsJbt34q$4hjIbco02Wo0pTWohtcg6.";
    }
    name-server {
        221.5.88.88;
        210.21.4.130;
        208.67.222.222;
        208.67.220.220;
    }
    services {
        ssh;
        telnet;
        xnm-clear-text;
        web-management {
            http {
                interface [ vlan.0 vlan.1 vlan.2 ge-0/0/0.0 ];
            }
            https {
                system-generated-certificate;
                interface [ vlan.0 vlan.1 vlan.2 ge-0/0/0.0 ];
            }
        }
        dhcp {
            router {
                208.8.8.1;
            }
            pool 208.8.8.0/24 {
                address-range low 208.8.8.2 high 208.8.8.254;
            }
            propagate-settings ge-0/0/0.0;
        }
    }
    syslog {
        archive size 100k files 3;
        user * {
            any emergency;
        }
        file messages {
            any critical;
            authorization info;
        }
        file interactive-commands {
            interactive-commands error;
        }
    }
    max-configurations-on-flash 5;
    max-configuration-rollbacks 5;
    license {
        autoupdate {
            url https://ae1.juniper.net/junos/key_retrieval;
        }
    }
}
interfaces {
    ge-0/0/0 {
        unit 0 {
            family inet {
                address 10.71.173.178/24;
            }
        }
    }
    ge-0/0/1 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/2 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/3 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/4 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members vlan-office;
                }
            }
        }
    }
    ge-0/0/5 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members vlan-office;
                }
            }
        }
    }
    ge-0/0/6 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members vlan-office;
                }
            }
        }
    }
    ge-0/0/7 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members vlan-office;
                }
            }
        }
    }
    ge-0/0/8 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members vlan-servers;
                }
            }
        }
    }
    ge-0/0/9 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members vlan-servers;
                }
            }
        }
    }
    ge-0/0/10 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members vlan-servers;
                }
            }
        }
    }
    ge-0/0/11 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members vlan-servers;
                }
            }
        }
    }
    ge-0/0/12 {
        unit 0 {
            family ethernet-switching {
                vlan {
                    members vlan-trust;
                }
            }
        }
    }
    ge-0/0/13 {
        unit 0 {
            family ethernet-switching {
                vlan {
                    members vlan-trust;
                }
            }
        }
    }
    ge-0/0/14 {
        unit 0 {
            family ethernet-switching {
                vlan {
                    members vlan-trust;
                }
            }
        }
    }
    ge-0/0/15 {
        unit 0 {
            family ethernet-switching {
                vlan {
                    members vlan-trust;
                }
            }
        }
    }
    vlan {
        unit 0 {
            family inet {
                address 192.168.1.1/24;
            }
        }
        unit 1 {
            family inet {
                address 168.10.1.1/24;
            }
        }
        unit 2 {
            family inet {
                address 208.8.8.1/24;
            }
        }
    }
}
routing-options {
    static {
        route 0.0.0.0/0 next-hop 10.71.173.254;
    }
}
protocols {
    stp;
}
security {
    screen {
        ids-option untrust-screen {
            icmp {
                ping-death;
            }
            ip {
                source-route-option;
                tear-drop;
            }
            tcp {
                syn-flood {
                    alarm-threshold 1024;
                    attack-threshold 200;
                    source-threshold 1024;
                    destination-threshold 2048;
                    timeout 20;
                }
                land;
            }
        }
    }
    nat {
        source {
            rule-set source-nat-rule {
                from zone office;
                to zone untrust;
                rule source-nat-rule {
                    match {
                        source-address 0.0.0.0/0;
                        destination-address 0.0.0.0/0;
                    }
                    then {
                        source-nat {
                            interface;
                        }
                    }
                }
            }
            rule-set server-web {
                from zone servers;
                to zone untrust;
                rule server-web {
                    match {
                        source-address 0.0.0.0/0;
                        destination-address 0.0.0.0/0;
                    }
                    then {
                        source-nat {
                            interface;
                        }
                    }
                }
            }
        }
        destination {
            pool DcsWebServer {
                address 208.8.8.8/32 port 80;
            }
            rule-set destination-nat-server {
                from zone untrust;
                rule destination-nat-server {
                    match {
                        destination-address 10.71.173.178/32;
                        destination-port 8080;
                    }
                    then {
                        destination-nat pool DcsWebServer;
                    }
                }
            }
        }
    }
    policies {
        from-zone untrust to-zone servers {
            policy untrust-to-DcsWebServer {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        from-zone office to-zone untrust {
            policy office-to-untrust {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        from-zone servers to-zone untrust {
            policy servers-to-untrust {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
    }
    zones {
        security-zone trust {
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
            interfaces {
                vlan.0;
            }
        }
        security-zone untrust {
            interfaces {
                ge-0/0/0.0 {
                    host-inbound-traffic {
                        system-services {
                            dhcp;
                            tftp;
                        }
                    }
                }
            }
        }
        security-zone office {
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
            interfaces {
                vlan.1;
            }
        }
        security-zone servers {
            address-book {
                address DcsWebServer 208.8.8.8/32;
            }
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
            interfaces {
                vlan.2;
            }
        }
    }
}
applications {
    application tcp-8080 {
        protocol tcp;
        source-port 0-65535;
        destination-port 8080-8080;
        inactivity-timeout 1800;
    }
}
vlans {
    vlan-office {
        vlan-id 4;
        l3-interface vlan.1;
    }
    vlan-servers {
        vlan-id 5;
        l3-interface vlan.2;
    }
    vlan-trust {
        vlan-id 3;
        l3-interface vlan.0;
    }
}



你这么一堆配置信息,大家都挺忙的 肯定没多少时间给你细看
个人建议juniper的配置通常还是从web去配置比较直观、方便
只有一些不能通过web界面配置的功能,可以使用cli方式配置
你这种映射是VIP的方式,那么就要检查2点,第一点是你的这个
映射的端口在policy的Global to trust 有没有被允许通过防
火墙,第二点就是内网的这台服务器是否正常运行



提示: 作者被禁止或删除 内容自动屏蔽
‹‹ 上一贴:juniper ssg320m不同网段不能互访问题请教 ...   |   下一贴:SRX650 高可用求助??? ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2020 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com