我把防火墙设置成3层的模式,现在问题是1网段的电脑可以访问2网段的电脑也可以上网、1网段完全正常，而2网段的电脑却访问不了1网段的电脑，也不能通过防火墙上网。2网段可以获取到1网段DHCP SERVER上的IP。请大家帮我看看是哪里出了问题。配置情况如下：
eth0为trust  接口IP：192.168.1.9 接口模式为NAT   
eth1为trust   接口IP：192.168.2.9  接口模式为route
eth2为untrust  接口IP为公有IP202..x.x.x    接口模式为route
在trust-vr 里加了一条0.0.0.0/0的网络通过untrust-vr出去
在untrust-vr里加了一条0.0.0.0/0通过网关（电信的路由器出去）

具体配置就是上面的这个情况了。
不知道为什么2网段不能访问1网段的电脑和通过防火墙上网。还请各位大虾指点。

我也是想知道这个问题怎么解决,还是有请后面的朋友来解答吧

请问楼主是电信的人吗？

不是电信的，用的电信的线路

网上找到的都说要用SECONDARY IP  有谁知道具体的方法，和简单的原理。

我觉得是NAT本身是单向的，所以去另一个网段也要用反向NAT就是不知道怎么做。不知道是不是这么一回事

2网段访问不了1网段是因为刚好测试的1网段的那台电脑的网关还没有改成放火墙的。现在新的问题是把ETH1改为NAT模式后2个网段都可以上网也可以互访，但是2网段的电脑却不能从1网段的DHCP服务器上自动获取IP了。如果ETH1改为ROUTE模式到是可以获取IP但是却上不了网，2个网段互访是可以的。

第一，2网段接口为ROUTE模式，自然不能上网，需要改成NAT模式，至于原因自己去看书。

还有你需要把你的策略也说明一下，防火墙这玩意，不说策略都是瞎蒙。