需求场景 内部trust访问外部源地址转换
小企业办公环境使用山石防火墙做为出口网关接入互联网;内部用户使用私有地址段 10.1.1.0/24; 外部互联网接口地址20.0.0.1/24为运营商分配, 网关为20.0.0.100; 内部用户访问互联网需将内部源地址 10.1.1.0/24 转换为 20.0.0.1。
关键配置如下:
fwa# show configuration
hostname “fwa”
exit
interface ethernet0/0
zone “trust”
ip address 10.1.1.254 255.255.255.0
manage ssh
manage ping
manage snmp
manage https
exit
interface ethernet0/1
zone “untrust”
ip address 20.0.0.1 255.255.255.0
manage ping
exit
ip vrouter “trust-vr”
snatrule id 1 from “10.1.1.0/24” to “Any” service “Any” trans-to 20.0.0.1 mode dynamicport
ip route 0.0.0.0/0 20.0.0.100
exit
rule id 1
action permit
src-zone “trust”
dst-zone “untrust”
src-addr “Any”
dst-addr “Any”
service “Any”
exit
End
fwa#验证:通过在内网客户端使用ping命令测试
server通过ping 8.8.8.8 测试是至互联网可达性
防火墙fwa使用show snat 命令查看源地址转换规则
