给定以下网络图:
互联网
|
|
+--------+--------+
| |
dmz2 ----+ +---- 局域网
| |
+--------+--------+
|
|
dmz1
互联网:0.0.0.0/0
dmz1:192.168.10.0/24
dmz2: 192.168.20.0/24
局域网:192.168.30.0/24
我想添加一条规则以允许从所有接口到 Internet 的流量。LAN还应该能够访问DMZ1和DMZ2. 我当然可以使用类似的东西:
dmz1: 接受 dst != 192.168.0.0/16 dmz2: 接受 dst != 192.168.0.0/16 局域网: 永远接受
但是,如果我们稍后在10.0.0.0/8规则中断中添加第三个 dmz。有没有办法在互联网接口上添加一个匹配的健壮规则?
您可以创建一个别名 INTERNAL_NET 并将网络 192.168.0.0/16 添加到其中。在规则中使用别名。然后,随着未来需求的变化,您可以随时将新网络添加到别名中,而无需更改规则。