天融信防火墙命令

天融信防火墙命令 Document serial number【KK89K-LLS98YT-SS8CB-SSUT-SST108】

Helpmode chinesel

区域权限：pf service add name webui(gui/ping/telent) area 区域名 addressname any

web管理服务开启：system httpd start

web界面权限添加：pf service add name webui area 区域名 addressname any

添加网口ip：

禁用网口： network interface eth16 shutdown

启用网口： network interface eth16 no shutdown

交换模式： network interface eth16 switchport（no switchport路由模式）

区域设置： define area add name E1 attribute 网口 access off（on）《off权限禁止，on 权限允许》

主机地址： define host add name 主机名

子网地址： define host subnet add name 名字

自定义服务：define service add name 名称 protocol 6 port 端口号 (6是tcp的协议码) vlan添加ip：

web服务器外网访问

1）设置 E1 区域

#define area add name E1 access on attribute eth1

2）定义 WEB 服务器真实地址

#define host add name WEB_server ipaddr

3)定义 WEB 服务器访问地址

#define host add name MAP_IP ipaddr

4)定义服务端口

#define service add name Web_port protocol 6 port 8080

说明：“6”是 TCP 协议的协议码

5)设置地址转换规则

#nat policy add srcarea E1 orig_dst MAP_IP orig_service http

trans_dst Web_server trans_service Web_port

路由adls

ADS拨号设置

1）设置 ADSL 拨号参数

#network adsl set dev eth0 username adsl1234 passwd 123456 attribute adsl

2）定义外网区域（adsl-a）

#define area add name adsl-a attribute adsl access on

3）配置地址转换策略

#nat policy add srcarea area_eth1 dstarea adsl-a trans_src adsl

4）拨号

#network adsl start

5）查看拨号连接情况

# network adsl show status

STATE: PHASE_RUNNING

RX_BYTES: 815

TX_BYTES: 2021

RX_PKTS: 13

TX_PKTS: 42

ELAPS: 586

Dhcp配置

1）配置 Eth1 口的 IP 地址

#network interface eth1 ip add mask

系统自动为物理接口 eth1 绑定属性“eth1”。

2）添加区域对象，指定对区域对象的访问权限为允许访问，并将区域与属性 eth1 绑

定。

#define area add name area_eth1 access on attribute eth1

3）开放该区域的 DHCP 服务

#pf service add name dhcp area area_eth1 addressname any

4)配置 DHCP 服务器

首先要配置 DHCP 服务器的地址池

如果需要，DHCP 服务器可以给指定 MAC 地址的主机绑定 IP 地址。

#network dhcp server add_host name bind macaddr 00:50:04:c3:b0:31 ipaddr

5)在 eth1 口启动 DHCP 服务器

#network dhcp server start on eth1

6)查看已分配的 IP 情况

#network dhcp show binded

web服务器外网访问

1）设置 E1 区域

#define area add name E1 access on attribute eth1

2）定义 WEB 服务器真实地址

#define host add name WEB_server ipaddr

3)定义 WEB 服务器访问地址

#define host add name MAP_IP ipaddr

4)定义服务端口

#define service add name Web_por t protocol 6 port 8080

说明：“6，”是 TCP 协议的协议码

5)设置地址转换规则

#nat policy add srcarea E1 orig_dst MAP_IP orig_service http

trans_dst Web_serve r trans_service Web_port

目的地址转换：

nat policy add srcarea adsla orig_dst adsl orig_service anyshare端口trans_dst 营销系统主机

nat policy add orig_src any orig_dst adsl orig_service anyshare端口trans_dst 营销系统主机

区域源地址转换：

nat policy add srcarea area_eth11 dstarea adsla trans_src adsl enable yes

访问控制

firewall policy add action accept srcarea area_eth12 dstarea area_eth11

firewall policy add action accept src any dstarea area_eth11

源地址转换

1）定义区域对象

#define area add name area_eth1 access on attribute eth1

#define area add name area_eth0 access off attribute eth0