|
|
| 该厂商目前得分:0分 |
| 技术支持指数:0 |
| 参与评论人数:8 |
 |
|
|
|
|
|
 如何配NAT规则使内网可以访问DMZ上的Internet服务器? |
| 答案:要由内网访问DMZ网,在NAT情况下由于发起方是内部机器,地址范围可以确定,而DMZ服务器的地址往往是保留地址,因此需要修改数据包中的目的地址,因此称为目的NAT,配置NAT规则时需要改变目的地址,源地址不变,假设内部机器地址范围为:192.168.1.0/24,DMZ服务器IP为172.16.0.2,防火墙DMZ网卡地址为172.16.0.1如用以下命令:
“add nat static 192.168.1.0/24 172.16.0.2 80 192.168.1.0/24 172.16.0.1 80”
即可实现内网访问DMZ区的WWW服务器,注意此规则中的倒数第二个参数可以使用防火墙的外网卡、DMZ网卡地址,但不要用内网卡地址,否则Java控制台有可能不能连接防火墙,因为这样会使防火墙不能区分Java控制台是要连接防火墙还是DMZ服务器。
如果端口不同,称为端口映射,如用以下命令:
“add nat static 192.168.1.0/24 172.16.0.2 8080 192.168.1.0/24 172.16.0.1 80”
则将对8080端口的访问转到80端口上。
当然,在过滤规则中还要增加允许访问DMZ服务器的相应规则,如:
“add rule tcp 192.168.1.0/24 172.16.0.2 80 internal accept”
注意:此规则与问题14中的规则的差异在于源地址是有范围的,而不是any,两种情况下防火墙的处理是有较大差别的,在配置规则时必须注意。 |
| 此FAQ对您有帮助么?[ 是 | 否 ] | 收藏
|
|
|
|
|
|
