USG5530S防火墙割接后PC无法访问互联网

发布时间:  2015-04-08 浏览次数:  152 下载次数:  3
问题描述

1.拓扑:

2.脚本:见附件

3.问题描述:
将USG5530S防火墙作为网络出口,配置相关脚本,发现PC无法访问互联网

处理过程

1. 先测试PC与网关的连通性
2. 查找脚本是否配置静态路由
3. 查看域间策略配置是否正确

解决方案

通过查看脚本,发现域间策略配置有误,由于客户以后会新增加两条运营商出口,所以在配置区域时新增untrust_dianxin区域,然而再做域间策略时,习惯性将untrust区域配置为ISP出口,所以导致PC无法访问互联网。
后来将域间策略出口更改为untrust_dianxin区域,PC可以正常访问互联网
错误配置:
firewall packet-filter default permit interzone trust untrust direction inbound
firewall packet-filter default permit interzone trust untrust direction outbound
正确配置截图:
firewall packet-filter default permit interzone trust untrust_dianxin direction inbound
firewall packet-filter default permit interzone trust untrust_dianxin direction outbound

建议与总结

在配置多运营商出口时,不能主观认为出口只有untrust区域,需要开放对应的域间策略。

END