设备配置单:
1,防火墙一台(我们这里采用普通Linux主机)
2,三层交换机一台(华为S5700)
3,pc机一台
一,交换机配置。
交换机配置比较简单,主要工作是划出两个vlan,一个用于连接PC,一个用于连接防火墙。
1,内网vlan以及接口配置如下
-
interface Vlanif10
-
ip address 192.168.10.1 255.255.255.0
-
dhcp select interface
-
-
interface GigabitEthernet0/0/1
-
port link-type access
-
port default vlan 10
2,接入防火墙vlan及接口配置
-
vlan配置
-
interface Vlanif2
-
ip address 192.168.100.1 255.255.255.0
-
dhcp select interface
-
-
接口配置
-
interface GigabitEthernet0/0/23
-
port link-type access
-
port default vlan 2
二,设备连接关系。
1,通过第一步的设置,确定了如下物理连接关系:
pc 接入 g 0/0/1 IP段:192
.168
.10
.1/24
防火墙接入 g 0/0/23 IP段:192
.168
.100
.1/24
2,设备地址:
pc: 192.168.10.254
防火墙内网接口:192.168.100.254
三,配置设备路由。
1,首先三层交换机要配置默认路由。
-
ip route-static 0.0.0.0 0.0.0.0 192.168.100.254
-
这里把默认路由指向防火墙接口。
2,配置防火墙路由。
-
192.168.100.0 0.0.0.0 255.255.255.0 U 1 0 0 eth0
-
172.16.112.0 0.0.0.0 255.255.255.0 U 2 0 0 wlan0
-
192.168.12.0 192.168.100.1 255.255.255.0 UG 0 0 0 eth0
-
192.168.11.0 192.168.100.1 255.255.255.0 UG 0 0 0 eth0
-
192.168.10.0 192.168.100.1 255.255.255.0 UG 0 0 0 eth0
-
0.0.0.0 172.16.112.2 0.0.0.0 UG 0 0 0 wlan0
四,做NAT转换配置
-
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o wlan0 -j SNAT --to-source 172.16.112.16
-
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o wlan0 -p icmp -j SNAT --to-source 172.16.112.16
做以上配置,内网中的任意一台终端设备(pc),都可以通过防火墙上互联网
-
iptables -t nat -A PREROUTING -d 172.16.112.16/32 -i wlan0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.12.254
做以上配置,通过外网地址172.16.112.16:80 可以访问到内网192.168.12.254:80
五,注意。
1,Linux系统默认不转发ip包。
-
配置 /etc/sysctl.conf
-
net.ipv4.ip_forward = 1
-
-
#sysctl -p 立即生效
2,防火墙FORWARD可能会设置过滤。
-
iptables -F FORWARD
-
-
当然可以采用更精确的过滤方法。
总结:
1,交换机与防火墙的连接,直接采用access模式。
2,交换机的默认路由要指向防火墙的接口地址。
3,防火墙的内网路由要指向交换机的接口地址。
4,防火强做NAT转换以及更高级的IP过滤功能。
整个配置过程中,一直需要tcpdump监听的配合,good luck!!
阅读(6196) | 评论(0) | 转发(0) |
