iT邦幫忙

0

雙防火牆 路由問題

hsuehlien 2015-07-09 11:30:462186 瀏覽

  • 分享至 

  • xImage

請教各位先進~架構請見下圖

由於某些因素,圖中紅色部份是後來新增的FW
目地是想要達成:
Client上網行為走FW2
存取DMZ Server則走FW1

Core Switch Static routing設定:
0.0.0.0/0 next-hop 192.168.3.254
172.20.1.0/24 next-hop 192.168.1.254
這樣設 內部對外基本上有達成目的

但問題來了

192.168.11.0/24 裡面有些ip有mapping WAN1的外部IP
例如: 192.168.11.100 mapping WAN1:1.1.1.1
外部會無法連進來~會變成 由WAN1進來 從WAN2出??

在不把mapping IP 改成WAN2的情況下,仍要達成
1.內對外上網行為都走FW2
2.外對內維持走FW1
有什麼做法呢?

P.S 沒有FW2情況下
Core Switch Static routing改回 0.0.0.0/0 next-hop 192.168.1.254
外對內 內對外 都是OK的喔

登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

3 個回答

2
zyman2008
iT邦大師 6 級 ‧ 2015-07-09 13:29:13
最佳解答

應該可以在Core switch上設policy routing來解決,指定192.168.11.100的路由走連FW1這條路.
我沒玩過JunOS,你可以參考這份文件.
http://www.juniper.net/techpubs/en_US/junos13.2/topics/topic-map/filter-based-forwarding-policy-based-routing.html

登入發表回應
0
rei1228
iT邦新手 3 級 ‧ 2015-07-10 11:12:09

請使用source NAT, 此外樓上提的FBF也行, 只是你的filter要下得很精準.

登入發表回應
0
johnnet01
iT邦新手 3 級 ‧ 2015-07-12 01:14:23

建議設成原gateway 192.168.1.254,然後在FW1上設mapping ip走FW1,其他的上網ip/port指向FW2;只要善用rule的優先次序,就可以達到目的

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22203
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙