« China’s Olympic super cop | Main | 简单生活 »
笨死了——开了大门关着小门
By admin | July 16, 2008
真是笨死了,摆弄了半天竟然是机器本身自带的防火墙没有关掉,自然应用也就无法进行了,最为可气的是软件防火墙竟然被欺骗了一次,关着防火墙,web也打开了一次,影响了判断!
类似比较笨的事情——修改了远程连接的默认端口,结果没在防火墙上放开,重启服务器,结果挂掉!
范例: NAT 模式
以下范例说明了 Trust 区段中有单独子网的 LAN 的简单配置。LAN 受 NAT 模式下的 NetScreen 设备保护。策略允许
Trust 区段中所有主机的外向信息流和邮件服务器的内向邮件。内向邮件通过虚拟 IP 地址被发送到邮件服务器。Trust
和 Untrust 区段都在 trust-vr 路由选择域中。
WebUI
1. 接口
Network > Interfaces > Edit ( 对于 ethernet1 ): 输入以下内容,然后单击 Apply:
Zone Name: Trust
Static IP: (出现时选择此选项)
IP Address/Netmask: 10.1.1.1/24
输入以下内容,然后单击 OK:
Interface Mode: NAT10
Network > Interfaces > Edit ( 对于 ethernet3 ): 输入以下内容,然后单击 OK:
Zone Name: Untrust
Static IP: (出现时选择此选项)
IP Address/Netmask11 : 1.1.1.1/24
Interface Mode: 路由
2. VIP12
Network > Interfaces > Edit ( 对于 ethernet3 ) > VIP: 输入以下内容,然后单击 Add:
Virtual IP Address: 1.1.1.5
Network > Interfaces > Edit ( 对于 ethernet3 ) > VIP > New VIP Service: 输入以下内容,然后单击 OK:
Virtual Port: 25
Map to Service: Mail
Map to IP: 10.1.1.5
3. 路由
Network > Routing > Routing Entries > trust-vr New: 输入以下内容,然后单击 OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (选择)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
4. 策略
Policies > (From: Trust, To: Untrust) New: 输入以下内容,然后单击 OK:
Source Address:
Address Book Entry: (选择), Any
Destination Address:
Address Book Entry: (选择), Any
Service: ANY
Action: Permit
Policies > (From: Untrust, To: Global) New: 输入以下内容,然后单击 OK:
Source Address:
Address Book Entry: (选择), Any
Destination Address:
Address Book Entry: (选择), VIP(1.1.1.5)
Service: MAIL
Action: Permit
CLI
1. 接口
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
13
set interface ethernet3 zone untrust
14
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 route
2. VIP
set interface ethernet3 vip 1.1.1.5 25 mail 10.1.1.5
3. 路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
4. 策略
set policy from trust to untrust any any any permit
set policy from untrust to global any vip(1.1.1.5) mail permit
save
Topics: 杂七杂八 |