RouterOS下配置DMZ
点击次数:33 次 发布日期:2008-11-22 09:40:48 作者:源代码网
|
DMZ是英文“demilitarizedzone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。 [admin@gateway]interface>print 给网卡添加所有需要的ip地址 CODE[admin@gateway]ipaddress>print Flags:X-disabled,I-invalid,D-dynamic #ADDRESSNETWORKBROADCASTINTERFACE 0192.168.0.2/24192.168.0.0192.168.0.255Public 110.0.0.254/2410.0.0.010.0.0.255Local 210.1.0.1/3010.1.0.010.1.0.3DMZ-zone 3192.168.0.3/24192.168.0.0192.168.0.255Public [admin@gateway]ipaddress> 给路由器添加默认静态路由 CODE[admin@MikroTik]iproute>print Flags:X-disabled,I-invalid,D-dynamic,J-rejected, C-connect,S-static,r-rip,o-ospf,b-bgp #DST-ADDRESSGGATEWAYDISTANCEINTERFACE 0S0.0.0.0/0r192.168.0.2541Public 1DC10.0.0.0/24r0.0.0.00Local 2DC10.1.0.0/30r0.0.0.00DMZ-zone 3DC192.168.0.0/24r0.0.0.00Public [admin@MikroTik]iproute> 给DMZ服务器添加ip地址10.1.0.2,网关地址10.1.0.1 配置dst-nat规则,使DMZ服务器能通过192.168.0.3这个互联网地址访问 CODE[admin@gateway]ipfirewalldst-nat>addaction=nat ...dst-address=192.168.0.3/32to-dst-address=10.1.0.2 [admin@gateway]ipfirewalldst-nat>print Flags:X-disabled,I-invalid,D-dynamic 0dst-address=192.168.0.3/32action=natto-dst-address=10.1.0.2 [admin@gateway]ipfirewalldst-nat>源代码网供稿. |
