防火墙应用指南(六)“策略”方向性问题的探讨
在配置TL-FR5300策略的时候,对于策略的方向性需要仔细分辨,本文档对于一些异常的、少见的情况下策略的方向确定,给出了一些参考建议。
假设TL-FR5300 WAN口的IP地址是222.77.77.40 ,内网服务器的IP地址是192.168.1.10,提供的服务端口是30 。 1,一般情况 如果在FR5300的LAN区域建立了服务器,提供给WAN区域主机访问,我们必须建立从WAN—>LAN的策略。(将“自定义服务”里面的服务端口就设置为LAN区域服务器提供的服务端口)设置如下:
如上图,当然可以定义别的任何端口,只需要访问的时候使用定义端口就可以了。
策略设置如上图,这个大家都已经会设置了。设置后以后,WAN区域主机主动访问WAN口IP地址的30端口,FR5300会将访问的数据包转发至内网的192.168.1.10这台主机,然后192.168.1.10回应数据包,连接建立。
2,特殊情况
上面都是WAN区域主动发起连接,连接LAN区域的服务器,这样将符合WAN—>LAN策略,可以成功连接。如果用户的使用环境中,先是WAN区域主动发起连接,正常连接服务器,然后从服务器上获取信息的时候,这个信息需要服务器主动发起新的连接,连接使用的源端口仍然是30这个服务端口,目的端口是客户端的随机端口,这样的连接能否建立呢?答案是不能建立的,虽然我们设置了从WAN—>LAN的策略,已经包含了自定义的30端口,但是这里是服务器主动发起的连接,这个新连接并不能符合从WAN—>LAN的策略,而是必须要重新定义从LAN到WAN的策略,配置如下:
注意和第一幅图片定义的端口位置不同!
如上图再增加这样一条从LAN—>WAN的策略,将源端口30的数据包也就是服务器的数据包权限开放,那么才能达到用户的需求!也就是如果WAN区域主机访问服务器后,服务器主动发起新连接但是源端口不改动,这时候从WAN—>LAN的策略是不能满足的,必须再增加一条从LAN—>WAN的策略来开放服务器主动访问WAN区域的权限才可以!
3,内网建立E-mail服务器的问题
如下示意图:
如上图:在FR5300的内网建立了一台TP-LINK E-mail服务器,本地的电脑都是在TP-LINK E-mail服务器上收发邮件。外网某主机使用Yahoo的信箱。如果“外网主机发送一封邮件给本地的电脑”,那么数据包的流程是上图中蓝色线标注的——先是外网主机将自己的邮件发送给自己的E-mail服务器也就是Yahoo的邮件服务器(使用SMTP/WEB协议),然后Yahoo的邮件服务器再将邮件发送给TP-LINK E-mail服务器(使用SMTP协议),然后本地电脑再从TP-LINK E-mail服务器上收取邮件(使用POP3/WEB协议)。
如果本地电脑要发送邮件给外网的Yahoo信箱,流程如下图:
如上图:本地电脑先将数据包发送给内网的TP-LINK E-mail服务器(使用SMTP/WEB协议),TP-LINK E-mail服务器再将数据发送给外网的Yahoo E-mail服务器(使用SMTP协议),之后外网的主机再从Yahoo邮件服务器上收取邮件(使用POP3/WEB协议)。
上面的两次流程,我们可以看到内网主机和外网主机在互通邮件的时候,实际上是:县发送给自己的E-mail服务器,然后才是分处内外网的两台E-mail服务器之间通过SMTP协议互相发送邮件的。
根据上面的描述,如果上面这种情况下在FR5300上面设置策略,需要两条策略:
1,WAN——>LAN(源地址)ANY –(目的地址)WAN IP –(预定义服务)SMTP –NAT
上面这条策略用于外网的邮件服务器给内网的邮件服务器发送邮件。
2,LAN——>WAN(源地址).10– (目的地址)ANY– (预定义服务)SMTP/DNS
这条策略用户内网邮件服务器给外网邮件服务器发送邮件。
假设没有设置第2条策略,内网用户就发现:自己可以成功发送邮件给外网用户,但是外网用户收不到。因为是成功发送给了内网的邮件服务器,而内网邮件服务器因为没有LAN到WAN的权限,所有外网主机收不到邮件。
全文打包下载:
防火墙应用指南(TL-FR5300).rar
(1.77 MB, 下载次数: 1196)
[ 本帖最后由 灰儿 于 2008-5-6 21:48 编辑 ] |