阻止除已定义 IP 之外的所有入站流量

网络工程 路由 杜松 警务
2022-02-17 23:13:45

提前感谢任何愿意花时间提供可能解决方案的人。这是我的实际情况:

                               ___________________       ________________
INTERNET --------------------- |                 |-------|               |
                               | Main router     |       |  PC 1         |
                               | 192.168.10.254  |       | IP from DHCP  |
        -----------------------|_________________|       |_______________|
   _____|________________
   |                    |
   | Juniper netscreen  |
   | Untrusted interface|                UNTRUSTED ZONE
   | 192.168.10.95      |
   |--------------------|---------------------------------------------------
   | Trusted interface  |
   | 192.168.2.1        |                TRUSTED ZONE
   |____________________|
         |            |
   ______|__________  |       _____________________
   |               |  |______|                     |
   | PC 2          |         | Other PCs in the    |
   | 192.168.2.100 |         | 192.168.2.x range   |
   |_______________|         |_____________________|

我需要为所有 192.168.2.x 设备(包括 .100)提供 Internet 访问权限,但只允许来自不受信任区域的请求到 IP 为 192.168.2.100 的 PC。我创建了一些规​​则,以便 192.168.2.x 设备(包括 .100)现在可以访问 Internet,并且我也可以 ping PC1。

问题是我无法从为虚拟路由器 192.168.2.1 生成的 PC1 异常中 ping 任何 192.168.2.x 设备。我尝试创建几条路线,但没有奏效。我肯定做错了什么。

最终目标是只允许 192.168.2.100 可以从不受信任区域访问(并且可以 ping 通),同时仍然允许在整个受信任区域中访问 Internet。我尝试阅读 Netscreen 文档,但找不到任何有用的东西。

Juniper Netscreen 型号是带有 5.4.0r3a.0 固件的 NS-5GT。

1个回答

看来您的 NetScreen 已将其操作模式配置为路由和 NAT。在这种情况下,您无法通过将目标 IP 设置为 192.168.2.X 来访问信任区域中的任何计算机。事实上 192.168.2.X 网络是无法从不受信任的接口访问的。

为了满足您的要求,您必须在 NetScreen 设备上配置端口转发(请参阅瞻博网络知识库)。

然后您必须将虚拟 IP 路由到主路由器上的不受信任接口,以允许PC 1访问虚拟 IP。

其它你可能感兴趣的问题
上一篇两个交换机上的一个 VLAN 下一篇如何配置 Cisco ASA 以将 SFTP 服务器公开给外部接口?