ethernet0/0 外网接口
ethernet0/1 DMZ接口
ethernet0/6 内网接口
若需要将DMZ区域主机或TRUST区域主机暴露在外网,可以使用MTP实现,方法如下:
1、在untrust接口的mtp页面添加公网IP和内部IP的映射,如下图
2、通过policy策略应用规则
10.230.68.2是trust主机的映射外网IP
10.230.68.3是DMZ主机的映射外网IP
1、Untrust To DMZ Permit
2、Untrust To Trust Deny
3、DMZ To Trust Reject
4、DMZ To Untrust Permit
5、Trust To DMZ Permit
6、Trust To Untrust Permit
DMZ区域的policy规则(From DMZ To Untrust, total policy: 1)需要进入高级模式,将 Source Translation 勾选上。
否则DMZ区域的主机将无法上外网。
原文:https://blog.51cto.com/13354560/2421494