- 论坛徽章:
- 0
|
昨天看了一道题,拿出来大家讨论一下.
如果可以使用NAT, 我的建议配置如下, 请大家评论一下:
为了不造成61.154.6.0/24网段的IP浪费,WWW和FTP配置私有,通过防火墙做DNAT对外提供服务。各设备配置如下(防火墙的详细策略就省了):
router:
e0/0: 61.154.6.254/24
s0/0: ISP指定IP
route table:
ip route add 61.154.6.1 255.255.255.255 61.154.6.253
ip route add 61.154.6.2 255.255.255.255 61.154.6.253
ip route add 0.0.0.0 0.0.0.0 s0/0 (如果知道s0/0的地址,gw可以指定它的IP)
firewall:
external: 61.154.6.253/24
internal: 10.0.0.1/24
dmz: 192.168.0.1/24
default gw: 61.154.6.254
NAT rules:
source ---->; destination ---- targets
any ---->; 61.154.6.1 ---- DNAT
any ---->; 61.154.6.2 ---- DNAT
www:
eth0: 192.168.0.2/24
gw: 192.168.0.1
ftp:
eth0: 192.168.0.3/24
gw: 192.168.0.1
pc:
eth0: 10.0.0.2/24
gw: 10.0.0.1 |
|