iT邦幫忙

0

防火牆如何設定內網某機器 to DMZ為允許訪問?

各位前輩好,想請教如何設定防火牆讓公司內部某台電腦(ip:192.168.1.40)可以連到dmz測試環境的server,
公司防火牆為cisco 5515x 網路架構為
dmz :192.168.0.0/24 測試環境網段
inside :192.168.1.0/24 內部網路網段
outside: 125.x.x.x/24 連網際網路
上述三個interface分別從防火牆的後面網孔各自連接一台switch,
dmz上的switch現在只有接防火牆(192.168.0.20)跟另一台xenserver(有兩張網卡,一張設192.168.0.245,一張設192.168.1.245)
firewall rule 有設定規則:
inside介面 source ip :192.168.1.40 to 192.168.0.0/24 permit

現在我如果設定192.168.1.40那台電腦網路遮罩為255.255.252.0,是可以ping跟連接到xenserver 192.168.0.245,但是如果網路遮罩改為255.255.255.0,就不能ping到或連接(這是因為那台xenserver上面有兩張網卡?),
請問如果要讓192.168.1.40 可以連到整個 192.168.0.0網段裡面的機器需要做甚麼設定呢?

麻煩各位大大解惑 ,感謝

2 個回答

0
michaelwan
iT邦高手 1 級 ‧ 2015-11-01 16:59:57
最佳解答

一台xenserver有dmz跟inside, 不會是各自接一台Switch吧?
這樣可以解釋為什麼設定"遮罩為255.255.252.0"可以連結的情況.
xenserver只留192.168.0.245這個介面.
inside to dmz permit 還要另一條dmz to inside permit.

0
jackkao1975
iT邦新手 5 級 ‧ 2015-11-02 16:45:19

你必須要擁有一台網管的SWITCH,一台L3與L2的 SWITCH!!利用L3去做CORE,在利用L2 SWITCH去做VLAN控管!!!
或是利用Cisco 5515去做路由!!!

為何要L2,L3 switch?

我要發表回答

立即登入回答