文档介绍：防火墙应用指南——“策略”方向性问题的探讨
在配置TL-FR5300策略的时候,对于策略的方向性需要仔细分辨,本文档对于一些异常的、少见的情况下策略的方向确定,给出了一些参考建议。
假设TL-FR5300 ,,提供的服务端口是30 。
1,一般情况
如果在FR5300的LAN区域建立了服务器,提供给WAN区域主机访问,我们必须建立从WAN—>LAN的策略。(将“自定义服务”里面的服务端口就设置为LAN区域服务器提供的服务端口)设置如下:
如上图,当然可以定义别的任何端口,只需要访问的时候使用定义端口就可以了。
策略设置如上图,这个大家都已经会设置了。设置后以后,WAN区域主机主动访问WAN口IP地址的30端口,,,连接建立。
2,特殊情况
上面都是WAN区域主动发起连接,连接LAN区域的服务器,这样将符合WAN—>LAN策略,可以成功连接。如果用户的使用环境中,先是WAN区域主动发起连接,正常连接服务器,然后从服务器上获取信息的时候,这个信息需要服务器主动发起新的连接,连接使用的源端口仍然是30这个服务端口,目的端口是客户端的随机端口,这样的连接能否建立呢?答案是不能建立的,虽然我们设置了从WAN—>LAN的策略,已经包含了自定义的30端口,但是这里是服务器主动发起的连接,这个新连接并不能符合从WAN—>LAN的策略,而是必须要重新定义从LAN到WAN的策略,配置如下:
注意和第一幅图片定义的端口位置不同!
如上图再增加这样一条从LAN—>WAN的策略,将源端口30的数据包也就是服务器的数据包权限开放,那么才能达到用户的需求!也就是如果WAN区域主机访问服务器后,服务器主动发起新连接但是源端口不改动,这时候从WAN—>LAN的策略是不能满足的,必须再增加一条从LAN—>WAN的策略来开放服务器主动访问WAN区域的权限才可以!
3,内网建立E-mail服务器的问题
如下示意图:
如上图:在FR5300的内网建立了一台TP-LINK E-mail服务器,本地的电脑都是在TP-LINK E-mail服务器上收发邮件。外网某主机使用Yahoo的信箱。如果“外网主机发送一封邮件给本地的电脑”,那么数据包的流程是上图中蓝色线标注的——先是外网主机将自己的邮件发送给自己的E-mail服务器也就是Yahoo的邮件服务器(使用SMTP/WEB协议),然后Yahoo的邮件服务器再将邮件发送给TP-LINK E-mail服务器(使用SMTP协议),然后本地电脑再从TP-LINK E-mail服务器上收取邮件(使用POP3/WEB协议)。
如果本地电脑要发送邮件给外网的Yahoo信箱,流程如下图:
如上图:本地电脑先将数