1、基本思路如图所示1、配置 DNS 外网那个服务器 注意网关是为了实验方便,实际不会设置防火墙 outside 口的 IP 地址的2、 DMZ 区的 web 服务器 IP 地址 192.168.202.2 网关为 192.168.202.13、 inside 区 则放了一台 PC 机,pc 机的 IP:192.168.201.2 网关为 192.168.201.1 DNS 就用拓扑图中的 DNS 地址4、首先要将防火墙的主机名 域名 路由 配置好 这样才可以 PC 机 ping 通 192.168.201.1通过三个配置 你会发现 DNS PC DMZ 去 ping 自己所在的网关都是通的 但是
2、如果想 pc想 pingDmz 会发现无法 ping 通的 这个是时候要做一个 ACL 让他们两两 ping 通其中 111 是一个扩展访问 ACL 但因为后面接了一个 permit 所以不写 extend 也可以这个时候你用 netstat -an 你会发现在 outside 的 DNS 可以看到内网的 IP 这个就不符合要求了。也就是 防火墙现在单单是一个路由器的功能所以这个时候要做的是1、 将 DNS 服务器的网关去掉 因为实际就这样 不可能配置好网关的。2、 为内网的出站做一个网络地址转换-NAT 做一个 PAT 其中命令中的 1 表示一个标记这个时候你会发现 PC 机又可以重新 ping 通外网了。用 netstat an 可以看到地址已转换3、新问题:这时你会发现内网访问 DMZ 区不行也就是说 如果要访问 DMZ 区 要做一个针对 DMZ 区的地址转换这个时候你去 DMZ 区 用 netstat an 可以看到地址已转换。3、 以上就是 NAT 的 DMZ 与 outside 的做好了要求:外网的 DNS 可以访问到内网的 DMZ 区:这个时候做一个静态 NAT 将 DMZ 区的服务器发布出去这个时候要考虑与前面的 111extended 想对应 这个时候最好 show run 看看。做一个远程管理接入:开启 telnet ssh 等 SSH 这里弄了一个钥匙对
