If You Like This Post, Share it With Your Friends

NAT pada Firewall Juniper

14 Nov 2014 - 15:26 WIB

Sudah lama tidak membuat tulisan, saya yang tangannya mulai gatal akan sedikit berbagi tentang tutorial komputer khususnya tentang NAT pada Firewall. Dalam hal ini saya mencobanya pada Juniper SRX650. Dan tutorial ini berlaku di tipe SRX lainnya dengan Software Junos 9,5 atau di atasnya.Kebetulan yang ada tipe itu (masa buat latihan pake tipe sebagus itu??) .

Yaudah ga usah berlama-lama lagi.Pertama yang harus kita ketahui adalah konsep NAT itu sendiri. Kalau ditanya apa itu NAT,trus anda ngejawab NAT itu adalah Network Address Translation itu benar tapi tidak tepat karena yang ditanya bukan NAT singkatan dari apa.

Jadi menurut Wikipedia yang tahu segalanya NAT adalah suatu metode untuk menghubungkan lebih dari satu komputer ke jaringan internet dengan menggunakan satu alamat IP. Banyaknya penggunaan metode ini disebabkan karena ketersediaan alamat IP yang terbatas, kebutuhan akan keamanan (security), dan kemudahan serta fleksibilitas dalam administrasi jaringan.

Secara sederhananya adalah misalanya jika anda ingin internetan, artinya ada 2 IP Address, satu IP Local (private) anda (Biasanya 192.168.1.xxx, 172.22.100.xxx, 10.10.1.xx) dan IP Public (IP Address dari ISP), maka anda harus melakukan fungsi NAT untuk meroutenya, anda tidak akan bisa langsung meroute IP Local anda ke IP Publik, cara ini dilakukan untuk mengurangi IP Public, karna ga mungkin anda menggunakan satu IP publik untuk satu komputer.So, jika ingin internetan apa itu di Mikrotik, di Cisco, di Juniper, dll harus melakukan metode NAT.Cukup jelas?

Karena yang saya bahas kali ini adalah NAT pada Firewall Juniper.Pertama yang harus kita pahami pada Juniper terdapat yang namanya Zone, yaitu untuk mengidentifikasi setiap port apakah dia sebagai Trust atau Untrust.Trust (percaya) maksudnya adalah zone untuk LAN. Sedangkan Untrust adalah zone untuk WAN.

Tapi kita bisa mengkostumasi Zone dengan menambahkan zone seperti DMZ dll.

8915630767b2bd8556fae927ce16408b_nat

Dalam hal ini NAT berfungsi melewatkan semua traffict dari zone TRUST ke zone UNTRUST yang ditranslasi melalui interface ge-0/0/2.

Pertama , adalah menentukan zone dari port melalui CLI akan seperti ini:

root@srx650# set security zones security-zone trust interfaces ge-0/0/0
root@srx650# set security zones security-zone trust interfaces ge-0/0/1
root@srx650# set security zones security-zone untrust interfaces ge-0/0/2

berikutnya adalah mengedit security nat source:

root@srx650# set security nat source rule-set trust-to-untrust from zone trust
root@srx650# set security nat source rule-set trust-to-untrust to zone untrust
root@srx650# set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0
root@srx650# set security nat source rule-set trust-to-untrust rule source-nat-rule match destination-address 0.0.0.0/0
root@srx650# set security nat source rule-set trust-to-untrust rule source-nat-rule then source-nat interface

Dan terakhir adalah mengedit security policies nya:

root@srx650# set security policies from-zone trust to-zone untrust policy trust-to-untrust matchsource-address any destination-address any application any
root@srx650# set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit

Jika anda sudah berhasil melakukan Source NAT dengan Interface IP.

Jika konfignya dilihat akan seperti ini:

root@srx650# show security nat
source {
  rule-set trust-to-untrust {
    from zone trust;
    to zone untrust;
    rule source-nat-rule {
      match {
        source-address 0.0.0.0/0;
        destination-address 0.0.0.0/0;
      }
      then {
        source-nat {
          interface;
        }
      }
    }
  }
}
[edit]
root@srx650# show security policies
from-zone trust to-zone untrust {
  policy trust-to-untrust {
    match {
      source-address any;
      destination-address any;
      application any;
    }
    then {
      permit;
    }
  }
}


TAGS   juniper / SRX / srx650 / firewall / NAT /


Who Am I?

Dani Royman Simanjuntak
@danijuntak
Karyawan IT sekaligus mahasiswa IT atau sebaliknya, still newbie, belajar belajar dan belajar... never stop dreaming, never stop learning.. HORAS... HORAS... HORAS!!!!

Terbaru

Recent Comment

Arsip