图中abc公司从isp申请了ip地址209.116.69.1用作防火墙的ext接口地址,作为全公司上网的公共ip。公司还申请了ip地址209.116.69.2用作公司的邮件服务器外部地址,域名为mail.abc.com。邮件服务器为了安全放在内部网,使用ip地址192.168.0.2。
我们假设防火墙的基本设置已经完成,如内部网已经能上网,已经有一条‘地址映射’策略把209.116.69.2映射成192.168.0.2。具体的设置请参考前面的例子。本例的任务是使内部子网192.168.0.0/255.255.255.0可以使用209.116.69.2(即mail.abc.com对应的ip)访问公司的邮件服务器。需要说明的是,内部子网192.168.0.0/255.255.255.0其实也可以用192.168.0.2直接访问邮件服务器,但直接用域名mail.abc.com会更方便。相关的设置:
图中
1 源接口和目的接口都是int1,即访问由int1内部发出,又流回int1。
2 源地址是int1921680: 192.168.0.0/255.255.255.0,即内部子网。
3 目的地址是ext-mail-server,即209.116.69.2/255.255.255.255。
4 协议是smtppop3,这是一个自定义协议组,包括smtp,pop3协议。
5 操作选snat+dnat。
6‘源地址译为’即将源地址翻译成192.168.0.1。这里我们选择了int1的接口ip。也可以选择子网192.168.0.0/255.255.255.0中的其它闲置ip地址。
7‘目的地址译为’即将目的地址翻译成192.168.0.2。也就是邮件服务器的ip地址。