NetSt多出口防火墙的配置需求:系统有两条网络出口,一条上ChinaNet,另一条上教育网,要求连接教育网站时使用教育出口,连接其他网站时使用ChinaNet出口。ChinaNet出口地址是192。168。10。10/24,网关地址为192。168。10。1教育网的出口地址为172.16.12.10/24网关172.16.12.1系统配置1:外网卡绑定不同的外部地址,只用于外网卡连接外部出口)系统连线教育网ChinaNet配置防火墙的网卡地址setifexternal192.168.10.10/24setifinternal10.10.10.1/24设置网卡的别名addaliasexternal172.16.12.10/24startalias配置缺省路由setnetNetst192.168.10.1externalstartnet配置路由(对教育网站的访问路由到172.16.12.1)addroute要访问的教育网站172.16.12.1external配置NAT,在NAT转换时把指定特定网段的NAT转换的要放前面addnatstatic10.10.10.0/24要访问的教育网站ipany172.16.12.10要访问的教育网站ipany(有几个教育网站书写几个)以下NAT是对非教育网站的NAT转换addnatstatic10.10.10.0/24anyany192.168.10.10anyany配置过滤规则addrule启动防火墙引擎startfirewall教育网系统配置方案2:(使用不同的网卡连接不同的出口)系统连线:防火墙的外网卡接ChinaNet的路由器,DMZ网卡接教育网的路由器ChinaNet设置“D2E”模式setmoded2e配置防火墙的网卡地址setifexternal192.168.10.10/24setifdmz172.16.12.10/24setifinternal10.10.10.1/24配置缺省路由setnetNetst192.168.10.1externalstartnet配置路由(此时的网卡位置为dmz)addroute教育网站的IP172.16.12.1dmz(有几个写几个)配置NAT此时只需添加2个NAT规则,防火墙会根据数据包的目的地址决定使用那一条addnatstatic10.10.10.1/24anyany172.16.12.10anyanyaddnatstatic10.10.10.1/24anyany192.168.10.10anyany配置过滤规则addrule启动防火墙startfirewall多出口路由均衡的配置在系统配置2中,使用2个ISP提供的服务,这2条线路都能访问INTERNET,实现流量均衡,要求地址为192。168。10。10/24的2M带宽,另一出口地址172。16。12。10/241M带宽系统配置:(1)设置d2e模式(2)配置防火墙的网卡(3)增加ISP网关参数addispgw192.168.10.1external2addispgw172.16.12.1dmz1(3)清除系统缺省网关setnet*0.0.0.0any(如不清除,将不能实现路由均衡,系统在路由均衡功能启动后会自动增加相应的路由)(4)设置防火墙的过滤规则(5)设置nat规则addnatpool10.10.10.0/24anyanyanyanyany
VIP
