问
h3c f1000-c-g5防火墙怎么配置光猫到防火墙再到服务器上网
2天前提问
- 0关注
- 0收藏,68浏览
H3C F1000-C-G5 防火墙配置 “光猫→防火墙→服务器” 上网的核心是实现公网接入(光猫对接)、NAT 地址转换、服务器端口映射,具体步骤如下(假设光猫为桥接模式,运营商提供静态公网 IP):
一、网络拓扑与前提
- 拓扑:光猫(桥接模式)→ 防火墙 WAN 口(如 G1/0/1)→ 防火墙 LAN 口(如 G1/0/2)→ 服务器(内网 IP:192.168.1.100)
- 前提:
- 光猫已配置桥接,防火墙需拨号(PPPoE)或使用静态公网 IP(本文以静态 IP 为例,拨号见补充说明)。
- 运营商信息:公网 IP(如 61.148.35.90)、子网掩码(如 255.255.255.252)、网关(61.148.35.89)、DNS(如 114.114.114.114)。
- 服务器内网 IP:192.168.1.100,子网掩码:255.255.255.0,网关指向防火墙 LAN 口 IP(192.168.1.1)。
二、防火墙配置步骤
步骤 1:配置接口 IP(WAN 口与 LAN 口)
- 配置 WAN 口(连接光猫):<F1000> system-view
[F1000] interface GigabitEthernet1/0/1 # WAN口,连接光猫 [F1000-GigabitEthernet1/0/1] ip address 61.148.35.90 255.255.255.252 # 运营商静态IP [F1000-GigabitEthernet1/0/1] undo shutdown [F1000-GigabitEthernet1/0/1] quit - 配置 LAN 口(连接服务器):[F1000] interface GigabitEthernet1/0/2 # LAN口,连接服务器
[F1000-GigabitEthernet1/0/2] ip address 192.168.1.1 255.255.255.0 # 内网网关 [F1000-GigabitEthernet1/0/2] undo shutdown [F1000-GigabitEthernet1/0/2] quit
步骤 2:配置默认路由(指向光猫网关)
[F1000] ip route-static 0.0.0.0 0.0.0.0 61.148.35.89 # 所有公网流量指向运营商网关
步骤 3:配置 NAT outbound(服务器访问公网)
通过 NAT 将服务器内网 IP 转换为防火墙公网 IP,实现上网:
- 创建 ACL 允许服务器网段:[F1000] acl number 2000
[F1000-acl-basic-2000] rule 0 permit source 192.168.1.0 0.0.0.255 # 允许服务器所在网段 [F1000-acl-basic-2000] quit - 配置 NAT 地址组(公网 IP):[F1000] nat address-group 1 61.148.35.90 61.148.35.90 # 绑定运营商提供的公网IP
- 在 WAN 口应用 NAT outbound:[F1000] interface GigabitEthernet1/0/1
[F1000-GigabitEthernet1/0/1] nat outbound 2000 address-group 1 # 内网流量出方向转换 [F1000-GigabitEthernet1/0/1] quit
步骤 4:配置安全策略(允许流量通过)
防火墙默认拒绝所有流量,需配置安全策略允许内网→公网、公网→服务器(如需):
- 允许服务器访问公网:[F1000] security-policy
[F1000-policy-security] rule name LAN_TO_WAN [F1000-policy-security-rule-LAN_TO_WAN] source-zone trust # 内网区域(默认LAN口属于trust) [F1000-policy-security-rule-LAN_TO_WAN] destination-zone untrust # 公网区域(默认WAN口属于untrust) [F1000-policy-security-rule-LAN_TO_WAN] source-address 192.168.1.0 0.0.0.255 [F1000-policy-security-rule-LAN_TO_WAN] action permit # 允许访问 [F1000-policy-security-rule-LAN_TO_WAN] quit - (可选)允许公网访问服务器特定端口:若需外部访问服务器(如 Web 服务 80 端口),需配置端口映射和入站安全策略:# 配置NAT服务器(端口映射)
[F1000] nat server protocol tcp global 61.148.35.90 80 inside 192.168.1.100 80 # 配置允许公网访问服务器80端口的安全策略 [F1000-policy-security] rule name WAN_TO_SERVER [F1000-policy-security-rule-WAN_TO_SERVER] source-zone untrust [F1000-policy-security-rule-WAN_TO_SERVER] destination-zone trust [F1000-policy-security-rule-WAN_TO_SERVER] destination-address 192.168.1.100 0.0.0.0 [F1000-policy-security-rule-WAN_TO_SERVER] destination-port eq 80 [F1000-policy-security-rule-WAN_TO_SERVER] action permit [F1000-policy-security-rule-WAN_TO_SERVER] quit [F1000-policy-security] quit
三、服务器配置
- IP 设置:IP=192.168.1.100,子网掩码 = 255.255.255.0,默认网关 = 192.168.1.1(防火墙 LAN 口 IP)。
- DNS 设置:配置运营商提供的 DNS 或公共 DNS(如 114.114.114.114)。
四、补充说明(光猫为路由模式时)
若光猫已拨号(路由模式,分配内网 IP 给防火墙),则防火墙 WAN 口配置需改为:
- WAN 口 IP 设为光猫分配的内网 IP(如 192.168.100.2,网关为光猫 IP 192.168.100.1)。
- 默认路由指向光猫内网 IP(192.168.100.1)。
- NAT 和安全策略配置同上。
五、验证
- 防火墙 ping 公网:
ping 8.8.8.8,确认 WAN 口连通。 - 服务器 ping 防火墙 LAN 口:
ping 192.168.1.1,确认内网连通。 - 服务器 ping 公网:
ping 8.8.8.8,确认 NAT 生效。 - (可选)外部 ping 服务器映射端口:
telnet 61.148.35.90 80,确认端口映射生效。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论