找不到任何信息,这是否可能以及如何在 Mellanox MSN2100 交换机上配置 DMZ 区域。
如果我设置 ACL 禁用从 DMZ 到 LAN 的流量,则我无法收到从 LAN 到 DMZ 的请求的响应。
有什么办法吗?
我这样做的主要原因是最大化防火墙的吞吐量,将其限制在与互联网相关的连接。否则,我会将防火墙上的每个连接加倍(从 LAN 到 DMZ 中的代理服务器,然后从代理到 WAN),从而将防火墙的最大吞吐量减半。
谢谢你的帮助。
答案1
ACL 本质上是无状态的。与防火墙(通常是有状态的)不同,您需要设置 ACE 来过滤或允许两个都方向。
因此,您可以仅允许来自 DMZ 服务的回复并拒绝其他所有回复。要允许从 LAN 到 DMZ 的 DNS、WWW 和 RDP 连接,您可以将此 ACL 应用于入口处的 DMZ 端口:
1000 permit udp dmz/24 lan/24 eq-source 53
1010 permit tcp dmz/24 lan/24 eq-source 80
1020 permit tcp dmz/24 lan/24 eq-source 443
1030 permit tcp dmz/24 lan/24 eq-source 3389
1200 deny ip dmz/24 lan/24
9999 permit ip any any
dmz/24
(用和替换您的 DMZ 和 LAN 地址/掩码lan/24
)
ACE 1200 会过滤所有之前不允许从 DMZ 到 LAN 的流量。如果该端口需要 WAN 流量,ACE 9999 会允许 WAN 流量。