我们最近进行了网络内部升级,添加了一个防火墙作为第一层防火墙,并将当前的防火墙设为第二层。设置如下:
WAN <--> 第 1 层防火墙 <--> 中间 LAN <--> 第 2 层防火墙 <--> 内部 LAN
还有其他网络,如 DMZ、Wifi 访客等,上面没有显示。中间 LAN 只是 2 个防火墙之间的单个连接,没有服务器或工作站连接到它。上述网络的 IP 为:
中级局域网:192.168.100.x/24
内部局域网:(192.168.50.x/24
服务器场)和192.168.40.x/24
(工作站)
我们已制定政策以启用从服务器场和工作站到 WAN 的浏览和各种网络流量。Web 过滤在第一层防火墙上完成。
现在我们面临的问题是,我们需要在第一层和第二层防火墙上打开 NAT,才能进行网页浏览。如果我们关闭第二层的 NAT,我们可以 ping 外部 IP(ISP DNS、Google DNS),但域名无法解析,因此无法进行网页浏览。当我们检查第一层防火墙上的日志时,DNS 数据包确实允许通过,但工作站和服务器仍然无法解析域名。
由于第一层防火墙正在执行 Web 过滤,如果启用了 NAT,我们希望执行报告或任何日志显示原始工作站 IP,而不是第二层防火墙的 IP。我们还希望通过不安装 NAT 来减少第二层防火墙的负载。
我们需要做哪些改变才能使其仅通过 1 层 NAT 工作?
编辑:抱歉造成混淆,基本上我们只是想知道上述问题的通用解决方案,例如将服务器/工作站网络地址添加到第一层接口,或在第二层有特定的静态路由,或者我们不应该有一个中间 LAN 等等。我们认为没有仅适用于特定品牌防火墙的特定配置
编辑:第一层是 Astaro,第二层是 FortiGate。Fortigate 的 LAN 端口上配置了 3 个 VLAN,服务器为本机,工作站和打印机位于 2 个单独的 VLAN 中。目前我们只关注服务器。有一个策略允许所有流量从服务器到 Astaro 的 LAN 端口。此策略启用了 NAT。在 Astaro 上,有 2 个策略允许 DNS 和 HTTP 的 LAN 到 WAN。浏览正常。但如果服务器->Astaro 策略的 NAT 关闭,我们无法解析服务器上的外部域名。无论 NAT 如何,我们始终可以 ping 外部 IP(例如 8.8.8.8)或 ISP 的 DNS。
答案1
嗯,您没有向我们提供有关该设备的任何详细信息,所以这个答案将非常笼统。
您的外部防火墙正在进行 NAT。内部防火墙需要配置 ACL,以便所需的数据包可以来回传递,并添加适当的路由,以便它知道将流量路由到哪些接口。