关于juniper netscreen NS-5GT-108的一个端口映射问题

wjzhch1

　　我是一个局域网用户，有一台web服务器（IP：111.121.11.11）提供给其它局域网用户访问，我现在在服务器前面加了一台juniper netscreen NS-5GT-108硬件防火墙，OS版是ns5gt.6.2.0r16.，我想让其它的局域网用户通过该硬件防火墙访问这台web服务器，我查了很多资料，都说用MIP一对一映射，我的服务器也适合做一对一映射，我也按照他们提供的方法进行设置了，但还是没有用，主要存在以后问题。
　　一是该硬件防火墙有四个口，在配置的时候有的说要把网线插对口才可以配置，问题是现在怎么插，外网的网线插在哪个口，内网的又插在哪个口。
　　二是如果还是用原web服务器的IP：111.121.11.11做为网站的访问地址的话，哪么防火墙的肯定要做个映射，而且防火墙访问地址就必须是原web服务器的IP：111.121.11.11，然后再映射到原web服务器的新地址，现在防火墙的配置地址是192.168.1.1，后面该怎么做呢？
　　感谢大家帮忙。

wjzhch1

在线等呀。

ccie34

顶起好帖子

独揽九天

楼主你好，首先，对于网络问题，最好配上图，不然理解起来很吃力的。

如果防火墙只是来为外网提供WEB服务，不需要MIP，VIP就可以了。当然，MIP也行，但是有点大材小用了。MIP是直接的IP一对一映射。会暴露这台主机的，不是很安全。建议VIP。

1、现在防火墙的配置IP是内网访问地址。可以更改。
2、你这款设备我没用过，但是一般应该是第一个端口，按照编号应该是e0/0之类的，你可以先进入管理界面，在network->interface->list 看一下哪个端口属于untrust的，那个就是。
3、然后配置基本的项目，先把外网地址111.121.11.11配到外网的端口上。
4、配置VIP，由于你是映射的WEB服务，但是防火墙本身访问也是web的，所以VIP直接映射80或者8080端口会有冲突，所以先要做一个预备工作，就是更改默认的管理端口。configuration->Admin->Management ->HTTP Port 可以改为8080或者其他的。https的可以改为1025.然后确定。确定后你会被踢出，然后重新登录：http://192.168.1.1:8080 即可。
5、配置VIP，network->interface->list 比如外网端口是e0/0，打开后，选择 Same as the interface IP address  点击add。之后右上角有new VIP service。 Virtual IP 就是你的外网接口IP，端口选择你需要的web端口80  Map to IP 就是你内网的服务器的地址。点OK即可。
6、VIP已经设置好，剩下的工作就是策略了，策略里边需要设置允许外网的访问，untrust  to trust  选择new，源地址any，目的地址下拉里边有带VIP的那个，permit  服务选择http，点击OK即可。

由于问题的帖子很久了，不知道楼主还关注此贴不，如有疑问请继续盖楼。