Networking

Fortigate 90D 上的 DMZ 問題,第二個路由器無法訪問網際網路

  • July 14, 2016

我在防火牆(硬體路由器)上設置 DMZ 埠時遇到問題。我還假設這屬於超級使用者,因為它看起來像是一個基本的 DMZ 設置。這是設置:

我有一個Fortigate 90D防火牆 ( FortiOS 5.4) 設置,其中 2 個 WAN 埠被不同的 ISP 使用。LAN 埠都用於我們的內部網路,除了 1 用作 DMZ 埠。

我正在嘗試將 1 LAN 埠更改為 DMZ 埠,這樣我們就可以使用不連接到我們內部網路的 WiFi 路由器。WiFi路由器是一個LinkSys EA2700http://www.linksys.com/us/p/P-EA2700/),但我最終遇到的問題是LinkSys路由器將連接到防火牆,而不是網際網路。

這是我能找到但沒有用的:

  1. 將埠設置為 DMZ(取出內部並放入名為 DMZ 的區域)並且該區域設置為阻塞Intra-Zone Traffic(選中框)
  2. 使用地址 (IE 172.16.0.254/255.255.255.0) 和角色 DMZ 設置埠(在網路 > 介面中)(DHCP 應由 LinkSys 處理)
  3. 使用帶有外部 IP 和映射 IP 的 WAN 介面設置虛擬 IP(外部 IP 是公共網際網路 IP,映射 IP 是172.16.0.254在 DMZ 介面上設置的)
  4. 設置防火牆策略以允許流量從 WAN 進來並通過 DMZ 出去,並將目標地址設置為虛擬 IP(NAT 已關閉)
  5. LinkSys 已插入 DMZ 埠,僅用於帶 DHCP 的 WiFi
  6. Internet 設置設置為:172.16.0.1/255.255.255.0網關和 DNS:172.16.0.254
  7. 本地網路設置為:172.16.1.1/255.255.255.0啟用 DHCP 並設置為使用靜態 DNS 172.16.1.1(也啟用了 NAT)

使用此設置,請記住設備的連接方式如下:調製解調器 -> Fortigate FW -> LinkSys Wifi 路由器。

其他埠工作正常,但連接到 Wifi 路由器時,我可以 ping 172.16.1.1、172.16.0.1、172.16.0.254 和公共 ip(在虛擬 IP 中設置)正常。我還嘗試將虛擬 IP 設置為指向 172.16.0.1 而不是 254,但沒有變化。

在 Fortigate 上,我可以跟踪從 DMZ 介面發送的數據包,並在我嘗試 ping 8.8.8.8 時顯示172.16.0.1 -> 8.8.8.8 icmp: echo request。我從來沒有看到從 8.8.8.8 -> 172.16.0.1/254 發生任何事情。

我知道防火牆似乎正在阻止流量,但我不知道這是否是我遺漏或未正確配置的東西。

虛擬 IP 不是必需的,但問題是已Block Intra-Zone Traffic檢查 DMZ 區域。它只是一個名為 DMZ 的自定義區域,但我沒有意識到Block Intra-Zone Traffic已檢查或它做了什麼。

通常這會阻止區域中每個介面之間的連接(根據http://firewallguru.blogspot.com/2008/11/intra-zone-traffic.html),但這顯然也包括 WAN 埠(我無法分配在這種情況下,區域的 WAN 埠)。

唯一需要修復的是 LinkSys 路由器,wifi 網路需要使用網關作為 DNS 伺服器(172.16.0.254根據範例)。

引用自:https://serverfault.com/questions/789624