思科5505 防火墙,公司网络配置请教
发布网友
发布时间:2022-05-04 23:57
共3个回答
热心网友
时间:2022-06-27 11:26
1.你服务器只有3台是不是?
2.你服务器到底放inside区域,还是放DMZ区域?
3.你这样的话,就是5505做出口网络设备了?你这是测试,还是以后正儿八经要跑流量的?(如果局域网比较大的话,个人不建议这么做)
4.你公网ip到底有几个,如果是3台服务器的话,你是要一个公网ip对应一台服务器?(不过按照你的需求的话,也必须要这么做了)
描述清楚后,我会给你一个简单的解决方案追问
抱歉没说清楚:
- 服务器五台
- 三台放在inside(客户应用服务),还有2台放在DMZ中(SVN+sendmail);
- 打算5505做出口可以吗?现在是测试。回来计划到放在托管机房的。局域网就这几台机器。
- 公网IP一共有8个,肯定可以分的。每台服务器对应一个公网IP,然后还有他们的内网IP。就是外部地址访问公网IP,NAT怎么做?是对应公网IP还是内网IP?
盼复。
追答route outside 0 0 xxxxx(下一跳的公网地址,托管到IDC机房后,他们会给你的)就是说,你5台服务器只需要配置内网IP,然后通过防火墙做端口静态NAT发布到*去即可
static (inside,outside) 172.16.16.1 192.168.1.10////内网192.168.1.10,*172.16.16.1
static (inside,outside) 172.16.16.2 192.168.1.20
static (inside,outside) 172.16.16.3 192.168.1.30
static (dmz,outside) 172.16.16.4 192.168.2.10
static (dmz,outside) 172.16.16.5 192.168.2.20/////////这里192.168.1.0,192.168.2.0算内网网段,172.16.16.0算*网段(具体的IP,到时候根据你自己的情况配置)
在全局配置模式下
access-list out_to_in extended permit ip any host 172.16.16.1///这条ACL的意思就是*所有的主机可以访问我内网192.168.1.10服务器的所有的服务(端口)ACL的名字是out_to_in
access-list out_to_in extended permit ip any host 172.16.16.2
access-list out_to_in extended permit ip any host 172.16.16.3
以此类推
然后:
access-group out_to_in in interface outside/////把这条ACL(out_to_in)应用到outside接口的入方向
那你可能会觉得把所有的端口都开放给*,不安全
比如我只需要开放192.168.1.10的80端口:
no access-list out_to_in extended permit ip any host 172.16.16.1////先去掉这条旧的
然后:
access-list out_to_in permit tcp any host 172.16.16.1 eq 80////这样服务器就只开放80端口了
热心网友
时间:2022-06-27 11:27
具体的设置需要根据你的版本来确定。。你看下你的版本是8.2以下的还是8.2以上的。
热心网友
时间:2022-06-27 11:27
