实战手记之高级NAT（Checkpoint）

tyty55567

最近一台CheckPoint防火墙出了题目：在事件查看器中可以查到“No License for Routers”的错误，经常死机。这个错误在CheckPoing文档中没有记录, 据说是有一个“路由器治理模块”没有购买。最后发现，实在只要在安装正式License时不要将试用License去掉就没有这个题目。 在等待有关方面支持的同时，我们将该防火墙撤下来，暂时用路由器实现原来由防火墙完成的地址转换、访问控制等部分功能，新旧拓朴图如下： 设置方法比较简单: 假如临时使用的交换机SW不支持VLAN,则可以在路由器内网端口上使用secondary address，留意这样做会把DMZ跟内网出口混在一起，要在内网多层交换机上设置好访问控制列表，阻止通过DMZ入侵内网。配置形如：inte***ce FastEthernet0/0ip address 202.1.1.1 255.255.255.252ip access-group 101 inip nat outside!inte***ce FastEthernet1/0ip address 192.168.1.254 255.255.255.0 secondaryip address 10.0.0.1 255.255.255.0ip nat inside!ip nat pool inet 202.2.2.1 202.2.2.9 netmask 255.255.255.0ip nat inside source list 1 pool inet overloadip nat inside source static 192.168.1.230 202.2.2.230ip nat inside source static 192.168.1.231 202.2.2.231ip classlessip route 0.0.0.0 0.0.0.0 202.1.1.2ip route 10.0.0.0 255.0.0.0 10.0.0.254!access-list 1 permit 10.0.0.0 0.0.0.255access-list 101 permit tcp any any establishedaccess-list 101 permit tcp any host 202.2.2.230 eq domainaccess-list 101 permit tcp any host 202.2.2.231 eq www假如SW支持VLAN，则可以路由器端口做Trunk, 或用不同的路由器端口分别连接不同VLAN，使DMZ与Inside分开。需要留意的是，内网的多层交换机上一般用默认路由指向出口的路由器/防火墙，现在路由器用静态路由指向内网，这里有形成环路的危险。由于在内网，10.0.0.0/8被子网化，假如一台机器访问10.0.0.0/8中一个不存在的子网时，多层交换机只有默认路由匹配而将包转发到出口路由器，而出口路由器路由表中最匹配的是指向多层交换机的10.0.0.0/8, 所以将包返回给多层交换机。这实在是一种路由汇总题目, 解决的方法是是多层交换机上设定： ip route 10.0.0.0 255.0.0.0 null 0。上面的拓朴图是只有一个出口的情况，假如该客户除了Internet出口，还有到上级单位HQ的出口，拓朴图如：这时候配置就有点难度了，要做两个NAT:inte***ce Ethernet0ip address 192.168.1.254 255.255.255.0ip nat insideip policy route-map out!inte***ce Serial0description connect to Internetip address 202.1.1.1 255.255.255.0ip nat outside!inte***ce Serial1description connect to HQip address 10.221.1.1 255.255.255.0ip nat outside!ip nat inside source route-map o202 inte***ce Serial0 overloadip nat inside source route-map o10 inte***ce Serial1 overloadip classlessip route 10.0.0.0 255.0.0.0 10.221.1.254ip route 0.0.0.0 0.0.0.0 202.1.1.2!access-list 101 deny ip any 10.0.0.0 0.255.255.255      1/2 12下一页尾页