我有一个由多个网络组成的网络。防火墙位于该网络内部,用于监视和控制第一网络和第二网络之间的流量。
在我的第一个网络中有 3 个客户端,它们无法相互通信,但它们应该可以。在我配置防火墙之前,我可以从一个主机 ping 到另一个主机。
所以在我的第二个网络中是一个服务器。
客户端应该能够相互交谈并与服务器交谈,防火墙应该监视和控制这种流量。
所以第一个问题是,我无法从客户端 ping 到其他客户端,或从客户端到服务器。由于我添加了防火墙。
第二个问题是,我无法通过防火墙 ping 我的 2 个网络。
我的防火墙的配置:
显示接口:root#运行显示配置接口
ge-0/0/0 {
unit 0 {
family inet {
dhcp-client;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 10.10.10.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.10.20.1/24;
}
}
}
显示安全性
root# show security
policies {
default-policy {
permit-all;
}
}
zones {
security-zone ServerZone {
tcp-rst;
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/3.0 {
host-inbound-traffic {
system-services {
all;
ping;
http;
ssh;
https;
}
}
}
}
}
security-zone ClientZone {
tcp-rst;
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/2.0 {
host-inbound-traffic {
system-services {
all;
ping;
http;
ssh;
https;
}
}
}
}
如果我尝试从防火墙 ping 服务器或客户端,我会收到错误消息:“无法访问目标主机”
我尝试从一个客户端 ping 到同一网络中的另一个客户端,但我得到“目标主机无法访问” - 也出现错误。并使用命令“arp”进入硬件地址列,其中包含我尝试 ping 的地址:“(不完整)”。
您是否知道,我该如何解决这个问题?我想从客户端 Ping 到客户端,从客户端到服务器,从服务器到客户端,从防火墙到客户端,从防火墙到服务器,从服务器到防火墙,从客户端到防火墙。
网络图:
我自己创建了这个图表。我使用 NFX - 设备,所以everythink 是一个美德机器。就像防火墙一样。
配置 VSRX - NFX 中的机器 - 设备
显示配置虚拟网络功能 vsrx
type {
virtual-machine;
}
image {
/var/third-party/images/media-vsrx-vmdisk-15.1X49-D140.2.qcow2;
image-type qcow2;
}
virtual-cpu {
count 2;
features {
hardware-virtualization;
}
}
interfaces eth2 {
mapping {
hsxe0 {
virtual-function;
}
}
}
interfaces eth3 {
mapping {
vlan {
members 95;
}
}
}
interfaces eth4 {
mapping {
vlan {
members 98;
}
}
}
memory {
size 4194304;
features {
hugepages;
}
}
no-autostart;
显示 vlan
Routing instance VLAN Name TAG Interfaces
host -os vlan-client 95 VMCentos_eth2.0
VMDebian_eth2.0
VMCentos2_eth2.0
vsrx_eth3.0
host - os vlan-server 98 Debian0-Server_eth2
vsrx_eth4.0