我在防火墙(硬件路由器)上设置 DMZ 端口时遇到问题。我还假设这属于超级用户,因为它看起来像是一个基本的 DMZ 设置。这是设置:
我有一个Fortigate 90D
防火墙 ( FortiOS 5.4
) 设置,其中 2 个 WAN 端口被不同的 ISP 使用。LAN 端口都用于我们的内部网络,除了 1 用作 DMZ 端口。
我正在尝试将 1 LAN 端口更改为 DMZ 端口,这样我们就可以使用不连接到我们内部网络的 WiFi 路由器。WiFi路由器是一个LinkSys EA2700
(http://www.linksys.com/us/p/P-EA2700/),但我最终遇到的问题是LinkSys路由器将连接到防火墙,而不是互联网。
这是我能找到但没有用的:
- 将端口设置为 DMZ(取出内部并放入名为 DMZ 的区域)并且该区域设置为阻止
Intra-Zone Traffic
(选中框) - 使用地址 (IE
172.16.0.254/255.255.255.0
) 和角色 DMZ 设置端口(在网络 > 接口中)(DHCP 应由 LinkSys 处理) - 使用带有外部 IP 和映射 IP 的 WAN 接口设置虚拟 IP(外部 IP 是公共互联网 IP,映射 IP 是
172.16.0.254
在 DMZ 接口上设置的) - 设置防火墙策略以允许流量从 WAN 进来并通过 DMZ 出去,并将目标地址设置为虚拟 IP(NAT 已关闭)
- LinkSys 已插入 DMZ 端口,仅用于带 DHCP 的 WiFi
- Internet 设置设置为:
172.16.0.1/255.255.255.0
网关和 DNS:172.16.0.254
- 本地网络设置为:
172.16.1.1/255.255.255.0
启用 DHCP 并设置为使用静态 DNS172.16.1.1
(也启用了 NAT)
使用此设置,请记住设备的连接方式如下:调制解调器 -> Fortigate FW -> LinkSys Wifi 路由器。
其他端口工作正常,但连接到 Wifi 路由器时,我可以 ping 172.16.1.1、172.16.0.1、172.16.0.254 和公共 ip(在虚拟 IP 中设置)正常。我还尝试将虚拟 IP 设置为指向 172.16.0.1 而不是 254,但没有变化。
在 Fortigate 上,我可以跟踪从 DMZ 接口发送的数据包,并在我尝试 ping 8.8.8.8 时显示172.16.0.1 -> 8.8.8.8 icmp: echo request
。我从来没有看到从 8.8.8.8 -> 172.16.0.1/254 发生任何事情。
我知道防火墙似乎正在阻止流量,但我不知道这是否是我遗漏或未正确配置的东西。
虚拟 IP 不是必需的,但问题是已
Block Intra-Zone Traffic
检查 DMZ 区域。它只是一个名为 DMZ 的自定义区域,但我没有意识到Block Intra-Zone Traffic
已检查或它做了什么。通常这会阻止区域中每个接口之间的连接(根据http://firewallguru.blogspot.com/2008/11/intra-zone-traffic.html),但这显然也包括 WAN 端口(我无法分配在这种情况下,区域的 WAN 端口)。
唯一需要修复的是 LinkSys 路由器,wifi 网络需要使用网关作为 DNS 服务器(
172.16.0.254
根据示例)。