Fortigate 90D 上的 DMZ 問題，第二個路由器無法訪問網際網路

我在防火牆（硬體路由器）上設置 DMZ 埠時遇到問題。我還假設這屬於超級使用者，因為它看起來像是一個基本的 DMZ 設置。這是設置：

我有一個Fortigate 90D防火牆 ( FortiOS 5.4) 設置，其中 2 個 WAN 埠被不同的 ISP 使用。LAN 埠都用於我們的內部網路，除了 1 用作 DMZ 埠。

我正在嘗試將 1 LAN 埠更改為 DMZ 埠，這樣我們就可以使用不連接到我們內部網路的 WiFi 路由器。WiFi路由器是一個LinkSys EA2700（http://www.linksys.com/us/p/P-EA2700/），但我最終遇到的問題是LinkSys路由器將連接到防火牆，而不是網際網路。

這是我能找到但沒有用的：

1. 將埠設置為 DMZ（取出內部並放入名為 DMZ 的區域）並且該區域設置為阻塞Intra-Zone Traffic（選中框）
2. 使用地址 (IE 172.16.0.254/255.255.255.0) 和角色 DMZ 設置埠（在網路 > 介面中）（DHCP 應由 LinkSys 處理）
3. 使用帶有外部 IP 和映射 IP 的 WAN 介面設置虛擬 IP（外部 IP 是公共網際網路 IP，映射 IP 是172.16.0.254在 DMZ 介面上設置的）
4. 設置防火牆策略以允許流量從 WAN 進來並通過 DMZ 出去，並將目標地址設置為虛擬 IP（NAT 已關閉）
5. LinkSys 已插入 DMZ 埠，僅用於帶 DHCP 的 WiFi
6. Internet 設置設置為：172.16.0.1/255.255.255.0網關和 DNS：172.16.0.254
7. 本地網路設置為：172.16.1.1/255.255.255.0啟用 DHCP 並設置為使用靜態 DNS 172.16.1.1（也啟用了 NAT）

使用此設置，請記住設備的連接方式如下：調製解調器 -> Fortigate FW -> LinkSys Wifi 路由器。

其他埠工作正常，但連接到 Wifi 路由器時，我可以 ping 172.16.1.1、172.16.0.1、172.16.0.254 和公共 ip（在虛擬 IP 中設置）正常。我還嘗試將虛擬 IP 設置為指向 172.16.0.1 而不是 254，但沒有變化。

在 Fortigate 上，我可以跟踪從 DMZ 介面發送的數據包，並在我嘗試 ping 8.8.8.8 時顯示172.16.0.1 -> 8.8.8.8 icmp: echo request。我從來沒有看到從 8.8.8.8 -> 172.16.0.1/254 發生任何事情。

我知道防火牆似乎正在阻止流量，但我不知道這是否是我遺漏或未正確配置的東西。

虛擬 IP 不是必需的，但問題是已Block Intra-Zone Traffic檢查 DMZ 區域。它只是一個名為 DMZ 的自定義區域，但我沒有意識到Block Intra-Zone Traffic已檢查或它做了什麼。

通常這會阻止區域中每個介面之間的連接（根據http://firewallguru.blogspot.com/2008/11/intra-zone-traffic.html），但這顯然也包括 WAN 埠（我無法分配在這種情況下，區域的 WAN 埠）。

唯一需要修復的是 LinkSys 路由器，wifi 網路需要使用網關作為 DNS 伺服器（172.16.0.254根據範例）。

引用自：https://serverfault.com/questions/789624