论坛风格切换切换到宽版
发帖 回复
返回列表
  • 792阅读
  • 7回复

[问题求助]请圣骑士大或白金兄帮忙:linux做多个网段的防火墙,如图 [复制链接]

 上一主题 下一主题
离线ft16.
初中三年级
 
发帖
2054
C币
-198567
威望
421
贡献值
2
银元
0
铜钱
4653
人人网人气币
0
只看楼主 倒序阅读 使用道具 楼主  发表于: 2009-05-01
能不能不添设备或添加比较少的设备,完成.,谢谢!.
绘.图1.jpg (56.3 KB) .
下载次数:26
2007-11-22 19.:17.

http://upload.bbs.csuboy.com/Mon_1004/126_7071_4296ce837f18e3b.jpg[/img]--- 印刷

评价一下你浏览此帖子的感受

精彩
感动
搞笑
开心
愤怒
无聊
灌水
回复
举报
分享到 淘江湖 新浪 QQ微博 QQ空间 开心 人人 豆瓣 网易微博 百度 鲜果 白社会 飞信
离线天使之星.
初中三年级
发帖
2019
C币
-505456
威望
366
贡献值
4
银元
-2
铜钱
4381
人人网人气币
0
只看该作者 沙发  发表于: 2010-04-13
接口复用,设置多IP是可以的
回复
举报
离线和气生财.
初中二年级
发帖
1863
C币
-236116
威望
308
贡献值
1
银元
0
铜钱
4033
人人网人气币
0
只看该作者 板凳  发表于: 2010-04-13
首先,谢谢楼上的几位!
接口复用,怎么实现其它几个网段到达linux防火墙,请仔细说明?

对硬件防火墙我们不做任何改变,包括策略路由!

白金老兄说的6503配置如下(经过了许多修改):
vlan 1
#
vlan 32
name br32
#
vlan 33
name br33
#
vlan 34
description "1 hao sushelou internet"
name sushe_1
#
vlan 35
name br35
#
vlan 36
name sushe_shipin
#
vlan 37
  
#
interface Vlan-interface33
ip address 10.8.33.252 255.255.255.0
#
interface Vlan-interface34
ip address 10.8.34.2 255.255.255.0
#
interface Vlan-interface35
ip address 10.8.35.2 255.255.255.0
#
interface Vlan-interface36
ip address 10.8.36.2 255.255.255.0

interface Vlan-interface37
ip address 10.8.37.2 255.255.255.0
#
interface Ethernet3/0/1
port link-type trunk
port trunk permit vlan 1 32
#
interface Ethernet3/0/2
port link-type trunk
port trunk permit vlan 1 32
#
interface Ethernet3/0/3
port link-type trunk
port trunk permit vlan 1 32
#interface Ethernet3/0/4
port access vlan 33
#
interface Ethernet3/0/5
interface Ethernet3/0/6
port access vlan 33

#
interface Ethernet3/0/7
port access vlan 34

#
interface Ethernet3/0/8
port access vlan 34
#
interface Ethernet3/0/9
port access vlan 35
interface Ethernet3/0/41
port access vlan 35
#
interface Ethernet3/0/42
port access vlan 36
#
interface Ethernet3/0/43
port access vlan 36
#
interface Ethernet3/0/44
port access vlan 37
#
interface Ethernet3/0/45
port access vlan 37
#
#
ip route-static 0.0.0.0 0.0.0.0 172.17.25.3 preference 60
#

#
return
回复
举报
离线yzc247.
初中三年级
发帖
2178
C币
-235386
威望
399
贡献值
1
银元
-1
铜钱
4913
人人网人气币
0
只看该作者 地板  发表于: 2010-04-13
有一个问题
ip route-static 0.0.0.0 0.0.0.0 172.17.25.3 preference 60
复制代码
6503 的配置中默认路由是 172.17.25.3,而顶楼图中写的却是 172.1.25.1,两者矛盾
另外,不知道这个 172.17.25.3 地址是哪里

其次第二个问题,硬件防火墙 172.17.25.1 不能允许上互联网吗?你有控制它的权力吗?

你要想实现这个需求,必须让各 VLAN 互通,让其他人可以访问到 10.8.33.1
为了安全,你可以做一下“除了可访问到 10.8.33.1 以外其他 deny 的 acl
然后将这些 rule 下发到物理接口上
然后可以在 10.8.33.1 上开 proxy,其他人的电脑只需在浏览器上指定 proxy 地址就可以了
当然,由于 Linux 的默认路由已经指向 ISP,为了让其可以与其他 PC 互通,需要针对其他各 VLAN 做回指路由到 10.8.33.252 上

[ 本帖最后由 platinum 于 2007-11-23 10:45 编辑 ]
回复
举报
离线magicworm.
初中三年级
发帖
1957
C币
-199353
威望
335
贡献值
1
银元
-1
铜钱
4296
人人网人气币
0
只看该作者 4楼 发表于: 2010-04-13
看型号,这个6503应该是个三层交换吧,应该可以配来当个多口路由器使的
回复
举报
离线daofeng99.
初中三年级
发帖
2012
C币
-152620
威望
379
贡献值
1
银元
-5
铜钱
4612
人人网人气币
0
只看该作者 5楼 发表于: 2010-04-13
谢谢白金兄
您对我说的问题的第一个疑问答复:传给您的配置是经过修改了的,默认路由是:172.17.25.1,不是25.3,也有好多ALC规则(但没有传给您)

其次第二个问题,我是可以控制硬件防火墙 172.17.25.1的, 并且允许上互联网,但我还有好多网段(非10。8。*。*)走的是这个防火墙,我不计划对它做任何修改。


最为难的也是你说的:必须让各 VLAN 互通,因为使用的华为6503没有购买 策略路由 板,所以不能使用策略路由,不知怎样才能使34、35、36、37都走linux防火墙,能不能立足于于现有的设备完成
回复
举报
离线绿豆宝贝.
初中二年级
发帖
1876
C币
-235812
威望
366
贡献值
1
银元
-3
铜钱
4235
人人网人气币
0
只看该作者 6楼 发表于: 2010-04-13
6503 与下面连接的时候直接用 48 电口板接电脑,还是下面还有做了 trunk 的二层交换?
我看到有 “port trunk permit vlan 1 32” 这样的信息,为何不是 permit vlan all?
如果 acl 合理,也 permit vlan all,那么应该可以互通,前提是 10.8.33.1 一定要做回指路由
这样其他电脑可以使用 10.8.33.1 提供的应用层代理上网了
回复
举报
离线蓝色海域.
初中三年级
发帖
2065
C币
-235577
威望
384
贡献值
1
银元
-1
铜钱
4528
人人网人气币
0
只看该作者 7楼 发表于: 2010-04-13
白金兄说的对,下面做了 trunk 的二层交换,我把结构简化了。
现在问题是:34网段的电脑网关只能指向34。2,从而到达了6503,但到达6503后,因为没有到达linux的路由,从而34。35等网段就走了默认路由到硬件防火墙了,就算从LINUX做了回指路由,34、35、36、37也到不了LINUX防火寺,现在难在路由上,路由到达后,再使用LINUX的代理上网
回复
举报
发帖 回复
返回列表
快速回复
限100 字节
批量上传需要先选择文件,再选择上传
 
上一个 下一个