环境:
eth0 (dmz)
eth1 (inside) 192.168.100.254
eth2 (outside) 221.224.×××.×××
\
\ eth2 / eth0
\ /
\ /
_\___/__
| FW |
-----|----
|
|
| eth1
当前配置状态:
首先配置接口命名:
DMZ:ETH0
EXT:ETH2
INT:ETH1
配置目的:
由于eth2连接公网,eth0连接dmz的服务器,所以这两个接口必须配置在一个桥接组里0,eth1连接内网,需要配置为桥接组1。配置桥接模式,需要更改/fw/secuiwall.conf文件,在其间找到
#BRIDGE
BRIDGE.Enable=YES
BRIDGE.BridgeGroup=eth0:0,eth1:1,eth2:0,eth3:2
以上这一字段。
命令如下:(这里用到vi编辑器,这里不再复述。)
#vi /fw/secuiwall.conf
/BRIGE
这样就可以搜索到这一字段。按照需求修改
#BRIDGE
BRIDGE.Enable=YES
BRIDGE.BridgeGroup=eth2:0,eth0:0,eth1:1
修改过之后,按ESC输入:wq!保存并且退出。
之后应用配置init_fw。
修改/etc/sysconfig/network-scripts/ifcfg-br0按照实际情况配置公网IP地址
ifcfg-br0文件示例
################################################
DEVICE=br0
IPADDR=221.224.×××.×××
NETMASK=255.255.255.248
BROADCAST=221.224.×××.×××
ONBOOT=no
################################################
修改/etc/sysconfig/network-scripts/ifcfg-br1配置内网地址。
ifcfg-br1文件示例
################################################
DEVICE=br1
IPADDR=192.168.×××.×××
NETMASK=255.255.255.0
BROADCAST=192.168.×××.×××
ONBOOT=no
################################################
启动nat:
/sbin/insmod nat (这里是加入nat模块)
/fw/bin/nat start (启动nat)
使用nat show nic可以查看应用nat的接口,如果出现:
[eth1] * Mode: NAT, Line type: ETHER, MTU: 1500
[eth2] * Mode: NAT, Line type: ETHER, MTU: 1500
类似这样的提示既nat成功。eth1内网,转换为eth2的地址。
最后使防火墙开机启动nat,修改/etc/rc.local文件,添加一下的命令
#vi /etc/rc.local
/sbin/insmod nat
/fw/bin/nat start
这样即可。
注意,除了在桥接接口上配置IP地址(br0;br1),任何的物理接口上不要配置ip地址,因为是桥接模式不能出现任何的3层地址。
将配置保存后,重启防火墙。