昨天看了一道题,拿出来大家讨论一下.

无花果

题目如下：
用户现在有两台服务器拥有公网IP地址。其中WWW服务器在用公网地址提供对外的WWW服务外还有一个内网地址10.0.0.1，做为内部上网的代理服务器。现在用户购买了一台方正方御防火墙，用户要求：
将服务器放置在DMZ区单独保护；
内部的计算机能对外访问WWW服务和FTP服务；
不改变内网计算机的IP地址；
架设完防火墙后还能够通过原有的两个公网IP地址对外提供相应的服务。

问：
如果防火墙使用路由模式，请写出所有设备的相关IP配置。

用户目前的网络拓扑如下图（防火墙我自己先画上去了）：

无花果

我现在的疑惑是：
1. 防火墙的路由模式是不是也象路由器一样，每个端口必须配备IP，而且这些IP不能在同一个子网内。
2. 如果使用路由模式，61.154.6.0/24网段的IP分别配在路由器、防火墙和服务器上，这样就必须要对该网段进行子网划分，是不是就会造成IP的大量浪费？
3. 在路由模式下，从INTERNAL到DMZ是不是也通过路由方式？这样，DMZ接口除配置61.154.6.0/24网段IP外，还需配置10.0.0.0/24网段的IP才能有路由从INTERNAL到DMZ中的10.0.0.1代理上。

如果是这样，这个配置太麻烦了吧？ 没有必要啊，我觉得透明模式好得很。

zjking139

做透明不就行了吗！

司

要求是必须做路由模式。答案已经出来了。只要在外网到DMZ和内网到DMZ做DNAT就行了。

无花果

[quote]原帖由 "司"]要求是必须做路由模式。答案已经出来了。只要在外网到DMZ和内网到DMZ做DNAT就行了。[/quote 发表：


可以使用NAT啊？ 那10.0.0.1的代理不就没什么用了吗？

zjking139

做透明不就行了吗！

duyunjian

save一下

人生五十年

做静态路由不行吗?

无花果

如果可以使用NAT， 我的建议配置如下， 请大家评论一下：

为了不造成61.154.6.0/24网段的IP浪费，WWW和FTP配置私有，通过防火墙做DNAT对外提供服务。各设备配置如下（防火墙的详细策略就省了）：

router:
e0/0: 61.154.6.254/24
s0/0: ISP指定IP
route table:
  ip route add 61.154.6.1 255.255.255.255 61.154.6.253
  ip route add 61.154.6.2 255.255.255.255 61.154.6.253
  ip route add 0.0.0.0 0.0.0.0 s0/0 (如果知道s0/0的地址，gw可以指定它的IP)

firewall:
external: 61.154.6.253/24
internal: 10.0.0.1/24
dmz: 192.168.0.1/24
default gw: 61.154.6.254
NAT rules:
source ---->; destination ---- targets
any ---->; 61.154.6.1 ---- DNAT
any ---->; 61.154.6.2 ---- DNAT

www:
eth0: 192.168.0.2/24
gw: 192.168.0.1

ftp:
eth0: 192.168.0.3/24
gw: 192.168.0.1

pc:
eth0: 10.0.0.2/24
gw: 10.0.0.1

司

因为是试题，所以指定要做路由模式，不能做透明模式D，呵呵