防火墙如何指定源地址
- 1关注
- 2收藏,2425浏览
问题描述:
防火墙需要访问外网,但是默认使用的接口是没有外网权限的那个。
其他网络设备做不了配置,在防火墙本地如何手动指定访问源地址?
组网及组网描述:
防火墙三层串联。上下两个IP地址。一个地址可访问外网,另一个地址访没有外网权限。
- 2022-05-13提问
- 举报
-
(1)
最佳答案
防火墙本地访问默认使用出接口IP地址。
如果你靠近外网的那个接口不能访问外网,可以把缺省路由指向靠近内网的那个接口,让流量去内网绕一圈再回来,这样源地址就变成另一个接口了。然后在入接口上启用策略路由重新把流量引向外网并关闭路由快速转发防止三层环路即可。
给你的样例吧,仅供参考,实际环境更推荐和现场沟通修改其他设备的配置。
例:
#
interface GigabitEthernet1/0/0(内网口,地址和接口按实际的配置)
ip address 10.0.12.2 255.255.255.0
ip policy-based-route test(调用策略路由,需要你先配置完策略路由,否则调用无效)
#
interface GigabitEthernet1/0/1(外网口,地址和接口按实际的配置)
ip address 10.0.23.2 255.255.255.0
#
security-zone name test(安全域,按实际的配置)
import interface GigabitEthernet1/0/0
import interface GigabitEthernet1/0/1
#
security-policy ip(安全策略按照实际情况调整,要允许Local访问Trust以及允许Trust访问Untrust等)
rule 0 name test
action pass
#
ip route-static 0.0.0.0 0 10.0.12.1(默认路由引向内网)
#
acl advanced 3000(我测试为了方便直接permit ip了,请根据实际环境调整,起码把源地址锁定一下)
rule 0 permit ip
#
undo ip fast-forwarding load-sharing(关掉快速转发,不然可能造成三层环路)
#
policy-based-route test permit node 10(策略路由)
if-match acl 3000
apply next-hop 10.0.23.3
#
- 2022-05-13回答
- 评论(1)
- 举报
-
(1)
我也遇到这个问题了,自己想出了这个办法。 但不明白这个快速转发的作用。 大佬威武!
我也遇到这个问题了,自己想出了这个办法。 但不明白这个快速转发的作用。 大佬威武!
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明