飞塔防火墙的配置与策略

最近帮助一家公司做网络维护,公司的防火墙是飞塔的,做了一些配置,对防火墙和访问策略有了进一步熟悉。

配置信息:固件版本200B,os版本4.0

再看看接口信息。

可以看到,port15是外网接口,port9是内网接口。

 看下面这一段策略设置:

可以看到有线网(Wired),无线网(Wireless),无线网访客(Wireless-Guest)都可访问外网(Wired-port15),并且Wired和Wireless可访问内网所有网段(Wired-port9),以及三者的相互访问,但是Wireless-Guest没有直接访问内网权限(Wireless-Guest-port9)。并且内网port9对外网port15只公开192.168.1.0/255.255.255.0网段。

再看下面一段配置

这部分访问策略控制了外网对内网的访问。 

可以看到域名的映射:

域名123.sharpower.cn,ip为106.38.65.38,映射内网192.168.1.68,即为192.168.1.0网段内服务器,符合上面port9-port15的访问策略。

再说说我碰到的问题。

搭建一个隧道通信的ssl-vpn,即所有内网外网的通信只在隧道内实现。

按理说策略是WAN-Tunnel-LAN ,即为port9-ssl.root-port15。

但是无法通信。

通道分割策略需要设置路由,这里ssl.root设置为10.0.1.0,虚拟ip范围为10.0.1.1-10.0.1.10。

挂载vpn之后ppp0e的ip为10.0.0.1,是虚拟ip,这里没有问题,但是无法ping通192.168.1.1。

网上寻找教程,发现隧道模式是在web模式扩展即可。

正常连接vpn。

访问内网服务器。

我的理解应该是我当时搭建策略时多了源地址为ssl-vpn-user,可能限制了ip访问,造成无法通信,并且lan-wan端口的策略已经配置好,我增加了lan-ssl.root-wan,应该是多余的。 

已标记关键词 清除标记
©️2020 CSDN 皮肤主题: 技术黑板 设计师:CSDN官方博客 返回首页