谁对NETSCREEN比较熟

zzcu

如何配置才能使外网的机器访问内网

lijiong

用netscreen 的 mip

x911

dnat

CalmIce

简单加策略不就行了么？
以5xp为例：
set policy from untrust to trust any any any permit

zzcu

可以说的详细一点吗？

wxgghaha

原帖由 zzcu 于 2006-5-29 12:59 发表
可以说的详细一点吗？

给个拓扑和环境要求哇

他的手册在网上可以下载，愿意可以在其找找看，挺简单的

wonderliang

NetScreen有WEB配置界面，很容易的，记得在policy放过。

qintel

原帖由 CalmIce 于 2006-5-26 17:58 发表
简单加策略不就行了么？
以5xp为例：
set policy from untrust to trust any any any permit

公网ip访问内网IP只加一policy是不行的。而且也不推荐加any到any的策略。

zzcu

那该如何来做呢？

superlee

根据TCP 或UDP 片段包头的目的地端口号，虚拟IP (VIP) 地址将在一个IP 地址处接收到的信息流映射到另一个地址。例如，
• 目的地为210.1.1.3:80（即，IP 地址为210.1.1.3，端口为80）的HTTP 封包可能映射到地址为10.1.2.10 的web 服务器。
• 目的地为210.1.1.3:21 的FTP 封包可能映射到地址为10.1.2.20 的FTP 服务器。

注意：只能在Untrust 区段接口上设置VIP。

范例：配置虚拟IP 服务器
在本例中，将接口ethernet1 绑定到Trust区段并分配IP 地址为10.1.1.1/24。将接口ethernet3 绑定到Untrust 区段并分配IP 地址为210.1.1.1/24。
然后，在210.1.1.10 配置VIP，以将入站HTTP 信息流转发至地址为10.1.1.10 的Web 服务器，并且创建一个策略，允许信息流从Untrust 区段到达Global 区段的VIP。
由于VIP 与Untrust区段接口(210.1.1.0/24) 在相同的子网中，因此无需为从Untrust区段到达它的信息流定义路由。
此外，VIP 将信息流转发到的主机不需要通讯簿条目。所有安全区段都在trust-vr 路由选择域中。

安全区段接口
1. set interface ethernet1 zone trust
2. set interface ethernet1 ip 10.1.1.1/24
3. set interface ethernet3 zone untrust
4. set interface ethernet2 ip 210.1.1.1/24
VIP
5. set interface ethernet3 vip 210.1.1.10 80 http 10.1.1.10
策略
6. set policy from untrust to trust any vip(210.1.1.10) http permit
7. save