rg-wall100(星网锐捷)防火墙配置实战

环境：
eth0 (dmz)             
eth1 (inside)     192.168.100.254
eth2 (outside)    221.224.×××.×××

\
 \ eth2    /  eth0
  \       /
   \     /
   _\___/__
  |  FW    |
  -----|----
       |
       |
       |   eth1

 

当前配置状态：
首先配置接口命名：
DMZ：ETH0
EXT：ETH2
INT：ETH1

配置目的：
    由于eth2连接公网，eth0连接dmz的服务器，所以这两个接口必须配置在一个桥接组里0,eth1连接内网，需要配置为桥接组1。配置桥接模式，需要更改/fw/secuiwall.conf文件，在其间找到
#BRIDGE
BRIDGE.Enable=YES
BRIDGE.BridgeGroup=eth0:0,eth1:1,eth2:0,eth3:2
以上这一字段。
命令如下：（这里用到vi编辑器，这里不再复述。）
#vi /fw/secuiwall.conf
/BRIGE
这样就可以搜索到这一字段。按照需求修改
#BRIDGE
BRIDGE.Enable=YES
BRIDGE.BridgeGroup=eth2:0,eth0:0,eth1:1
修改过之后，按ESC输入:wq!保存并且退出。
之后应用配置init_fw。

修改/etc/sysconfig/network-scripts/ifcfg-br0按照实际情况配置公网IP地址
ifcfg-br0文件示例
################################################
DEVICE=br0
IPADDR=221.224.×××.×××
NETMASK=255.255.255.248
BROADCAST=221.224.×××.×××
ONBOOT=no
################################################  

修改/etc/sysconfig/network-scripts/ifcfg-br1配置内网地址。
ifcfg-br1文件示例
################################################
DEVICE=br1
IPADDR=192.168.×××.×××
NETMASK=255.255.255.0
BROADCAST=192.168.×××.×××
ONBOOT=no
################################################

启动nat:
/sbin/insmod nat    (这里是加入nat模块)
/fw/bin/nat start   (启动nat)
使用nat show nic可以查看应用nat的接口,如果出现：
[eth1]  * Mode: NAT, Line type: ETHER, MTU:  1500
[eth2]  * Mode: NAT, Line type: ETHER, MTU:  1500
类似这样的提示既nat成功。eth1内网，转换为eth2的地址。
最后使防火墙开机启动nat，修改/etc/rc.local文件，添加一下的命令
#vi /etc/rc.local
/sbin/insmod nat  
/fw/bin/nat start
这样即可。
注意，除了在桥接接口上配置IP地址（br0;br1），任何的物理接口上不要配置ip地址，因为是桥接模式不能出现任何的3层地址。
将配置保存后，重启防火墙。