我在防火墙(硬件路由器)上设置 DMZ 端口时遇到问题。我还假设这属于超级用户,因为它看起来像一个基本的 DMZ 设置。以下是设置:
我有一个Fortigate 90D防火墙 ( FortiOS 5.4) 设置,其中有 2 个 WAN 端口由不同的 ISP 使用。除了 1 个用作 DMZ 端口外,其他 LAN 端口均用于我们的内部网络。
我正在尝试将 1 LAN 端口更改为 DMZ 端口,这样我们就可以使用不连接到内部网络的 WiFi 路由器。WiFi 路由器是LinkSys EA2700(http://www.linksys.com/us/p/P-EA2700/),但我最终遇到的问题是 LinkSys 路由器将连接到防火墙,而不是互联网。
以下是我能找到的但没有起作用的方法:
- 将端口设置为 DMZ(从内部取出并放入名为 DMZ 的区域)并将区域设置为阻止
Intra-Zone Traffic(选中复选框) - 设置端口(在网络 > 接口中)的地址(即
172.16.0.254/255.255.255.0)和 DMZ 角色(DHCP 应由 LinkSys 处理) - 使用具有外部 IP 和映射 IP 的 WAN 接口设置虚拟 IP(外部 IP 是公共互联网 IP,映射 IP 是
172.16.0.254在 DMZ 接口上设置的) - 设置防火墙策略以允许从 WAN 进入并通过 DMZ 出去的流量,并将目标地址设置为虚拟 IP(NAT 已关闭)
- LinkSys 已插入 DMZ 端口,仅用于带 DHCP 的 WiFi
- 互联网设置设置为:
172.16.0.1/255.255.255.0网关和DNS:172.16.0.254 - 本地网络设置为:
172.16.1.1/255.255.255.0启用 DHCP 并设置为使用静态 DNS172.16.1.1(NAT 也启用)
通过此设置,请记住设备的连接方式:调制解调器 -> Fortigate FW -> LinkSys Wifi 路由器。
其他端口工作正常,但连接到 Wifi 路由器时,我可以 ping 172.16.1.1、172.16.0.1、172.16.0.254 和公共 IP(在虚拟 IP 中设置)。我还尝试将虚拟 IP 设置为指向 172.16.0.1 而不是 254,但没有变化。
在 Fortigate 上,我可以跟踪从 DMZ 接口发送的数据包,当我尝试 ping 8.8.8.8 时,它会显示172.16.0.1 -> 8.8.8.8 icmp: echo request。我从未看到任何从 8.8.8.8 -> 172.16.0.1/254 的内容。
我知道防火墙似乎正在阻止流量,但我不知道这是我遗漏了什么还是配置不正确。
答案1
虚拟 IP 不是必需的,但问题出在 DMZ 区域已Block Intra-Zone Traffic检查。它只是一个名为 DMZ 的自定义区域,但我不知道它Block Intra-Zone Traffic被检查了,也不知道它做了什么。
通常,这将阻止区域中每个接口之间的连接(根据http://firewallguru.blogspot.com/2008/11/intra-zone-traffic.html),但这显然也包括 WAN 端口(在这种情况下我无法将 WAN 端口分配给该区域)。
唯一需要修复的是 LinkSys 路由器,wifi 网络需要使用网关作为 DNS 服务器(172.16.0.254根据示例)。