前面二节我们讨论了在防火墙网络中,内网用户访问DMZ区域的服务器,以及内网用户访问互联网的配置;
当然了我们架设服务器的目的不仅是服务于内部用户,有时我们在外部也需要访问内部服务器,同时我们提供WEB服务为其他所有的用户。
今天我们就说说如何为外部用户提供服务。
如上图,互联网用户PC2如何才能访问DMZ区域的Server1呢?
一、配置DMZ访问互联网UnTrust区域[FW1]nat-policy interzone dmz untrust outbound
[FW1-nat-policy-interzone-dmz-untrust-outbound]policy 20
[FW1-nat-policy-interzone-dmz-untrust-outbound-20]action source-nat
[FW1-nat-policy-interzone-dmz-untrust-outbound-20]address-group 1
[FW1-nat-policy-interzone-dmz-untrust-outbound-20]q
[FW1-nat-policy-interzone-dmz-untrust-outbound]q
[FW1]policy interzone dmz untrust outbound
[FW1-policy-interzone-dmz-untrust-outbound]policy 15
[FW1-policy-interzone-dmz-untrust-outbound-15]action permit
[FW1-policy-interzone-dmz-untrust-outbound-15]q
[FW1-policy-interzone-dmz-untrust-outbound]q
测试 查看NAT转换信息配置静态NAT,实现内网服务器的发布;
[FW1]nat server global 10.1.1.22 inside 192.168.80.10
下列命令,将内部服务器的80端口映射到公网地址80端口上。
[FW1]nat server zone untrust protocol tcp global 10.1.1.22 80 inside 192.168.80.10 80
再配置Untrust区域访问DMZ的包过滤;[FW1]policy interzone untrust dmz inbound
[FW1-policy-interzone-dmz-untrust-inbound]policy 20
[FW1-policy-interzone-dmz-untrust-inbound-20]policy source 100.1.1.2 0
//本命令表示只允许100.1.1.2主机访问服务器,一般不配置,或者配置成policy source any
[FW1-policy-interzone-dmz-untrust-inbound-20]policy destination 192.168.80.10 0
[FW1-policy-interzone-dmz-untrust-inbound-20]policy service service-set http
[FW1-policy-interzone-dmz-untrust-inbound-20]policy service service-set ftp
[FW1-policy-interzone-dmz-untrust-inbound-20]action permit
[FW1-policy-interzone-dmz-untrust-inbound-20]policy service service-set icmp
测试正在阅读:
国庆节发给朋友的的微信祝福语大全04-05
快乐的星期天作文500字01-01
教室里的不速之客作文500字07-20
2017上海农商银行资产管理部(筹)等部门招聘启事09-27
2016年11月贵州四级电子商务师成绩查询时间及入口09-02
中级商务英语口语考试技巧08-26
2022年山西高考估分系统06-14
2017年5月贵州助理人力资源管理师考试时间:5月21日11-29
贵州游记作文800字06-26