iT邦幫忙

0

SSG5 DMZ to Untrust 不通

本人有一部 SSG 5 ScreenOS 6.3.0r11.0 已設定eth0/1 為 dmz
eth0/0 為untrust
bgroup0 on eth0/2-6 lan

lan 去untrust 沒問題

dmz 內有server ip 為 192。168。18。81
已設定了vip 及policy 由untrust to dmz 80,21 沒問題

可是在dmz 內的主機卻出不了去,例如ping www。yahoo。com 會去不了

以下為我的ssg5 設定

============== Start ============
unset key protection enable
set clock dst-off
set clock timezone 8
set clock dst recurring start-weekday 2 0 3 02:00 end-weekday 1 0 11 02:00

config donwload here

http://explorerhome.dyndns.org/photoevent/SSG5\_cfg.txt

1 個回答

4
tomluquan
iT邦新手 2 級 ‧ 2012-04-23 09:40:27
最佳解答

確認一下DMZ內server網卡上所設定DNS位址是否可到的了?如果您的DNS指的是LAN DNS Server,那麼請記得開放DMZ to trust可以使用dns service

肯定拿了DNS 的了
LINUX 及WINDOWS 也交替試了還是一樣
是否除了 POLICY 外還要針對DMZ TO UNTRUST 設定 NAT?
如是又如何設定呢?

謝謝

/etc/resolv.conf
我 LINUX 主機的 DNS 由DHCP內拿到,就是沒法出去,
用了 IP PING 也是出不了去

; generated by /sbin/dhclient-script
search SSG5-Serial-WLAN eaea.org
nameserver 218.102.52.81
nameserver 218.102.23.77

已自己解決了
得在DMZ TO UNTRUST 的POLICY 內按ADVANCED , 把 NAT Source Translation 打勾及 (DIP on) 選NONE (USE EGRESS INTERFACE) 就行了..

我要發表回答

立即登入回答