理解Cisco PIX 防火墙的转换和连接

动态地址转换涉及到NAT和PAT,静态地址也就是我们通常所说的给DMZ接口的地址作一个静态隐射,通常用于如web site和mail server等相对关键

的业务.以便Internet上的用户可以通过他们的全局地址连接这些服务器.

NAT命令
pix(config)#nat inside 1 192.168.6.0 255.255.255.0
pix(config)#global (outside) 1 10.0.0.1~10.0.0.255 netmask 255.0.0.0
注意命令中的1在nat和global命令必须相同,它允许指派特定的地址进行转换.
在这里1不能换0,你可以换其他的数,因为nat 0在pix有特定的含义,nat 0表示在pix上用于检测不能被转换的地址,我们通常在做acl转换也应用到这

个命令.

PAT命令:
PAT允许将本地地址转换成一个单一的全局地址,执行NAT和PAT命令有所相似,不同的是PAT是定义一个单一的全局地址而不是像NAT一样定义一

定范围的地址.
pix(config)#nat (inside) 1 0.0.0.0 0.0.0.0     表示转换网段中的所以地址
pix(config)#global (inside) 10.0.0.1 255.0.0.0

静态地址:
通常将static和conduit命令一起使用,或者可以使用acl来代替conduit
static命令只配置地址转换,为了允许来自一个从低安全等级接口对本地节点的访问,我们前面讲过,需要配置ACL或者建立一个通道.
pix(config)#static (inside,outside) 10.0.0.1 192.168.0.9
pix(config)#conduit permit tcp host 192.168.0.9 eq www any
(这里host表示的是指一个特定的主机host 192.168.0.9表示 192.168.0.9 255.255.255.255为什么要是255.255.255.255,别搞成为subnet mask,它是

wildcard,也就是通配符,any表示任何源地址和目的地址,0.0.0.0 255.255.255.255.eq is mean the match only packets on a given port number.)
这里我们可以把conduit转换成ACL
pix(config)#access-list 101 permit tcp any host 192.168.0.9 eq www
pix(config)#access-group 101 in interface outside

使用static命令实现端口重定向
pix(config)#static (inside,outside) tcp 192.168.0.9 ftp 10.10.10.9 2100 netmask 255.255.255.255. 0.0
其中ftp可以用21来表示,在这里的服务与前面的协议对应,是tcp 还是udp,ftp当然对应tcp.
这个命令的意思我通过在低安全等级访问192.168.0.9的21端口,它自动转到10.10.10.9 2100这个端口上.

在6.2版本以上支持双向网络地址转换,我不知道这个是什么意思?
他说可以对外部源IP地址的NAT,以便将外部接口的分组发送到一个内部接口上两个重要的命令:
show xlate查看转换表
show conn查看连接状况
有很多命令选项,大家可以在cli下show xlate ?查看一下,对你处理故障非常有用.

5.配置DNS支持
在默认情况下,PIX鉴别每个输出的DNS请求,并且只允许一个对这些请求的响应.随后所有对原始查询的响应会被丢弃.
所以有时候我们在pix使用show conn看到有很多去DNS的响应都被丢掉,

上一页 [1] [2] [3] 下一页

复制本页网址和标题，发送给你QQ/Msn的好友一起分享

上一篇:思科为Woodside Petroleum建智能网

下一篇:技术新知：Cisco 802.3af详细介绍