溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

PIX配置手冊(cè)三(nat)

發(fā)布時(shí)間:2020-07-17 03:58:15 來(lái)源:網(wǎng)絡(luò) 閱讀:947 作者:506554897 欄目:安全技術(shù)

一、nat + glob 


1、內(nèi)部地址轉(zhuǎn)換外部地址池配置說(shuō)明:


nat (inside) 1 2.2.2.0 255.255.255.0  配置inside表

glob (outside)1 1.1.1.10-1.1.1.20     配置outside表

PIX配置手冊(cè)三(nat)

sh nat 查看nat inside配置

sh glob 查看nat global配置

sh user 查看設(shè)備登陸用戶

sh xlate 查看nat轉(zhuǎn)換表  

sh conn 查看目前連接的信息


clear xlate 清空xlate轉(zhuǎn)換項(xiàng) 

clear nat   清空nat inside配置

clear glob  清空nat global配置





2、外部地址不夠,配置PAT,就是轉(zhuǎn)換為out接口地址:


nat (inside)1 2.2.2.0 255.255.255.0

glob (outside)1 interface


PIX配置手冊(cè)三(nat)

3、nat+pat使用,對(duì)于有一段公網(wǎng)地址池,而又不夠用的


nat (inside) 1 2.2.2.0 255.255.255.0

glob (outside) 1 1.1.1.10-1.1.1.20

glob (outside) 1 interface

PIX配置手冊(cè)三(nat)


4、acl控制nat

access-l nat per tcp any any eq telnet

nat (inside) 1 access-l nat

glob (outside)1 interface


sh access-l nat 查看acl nat列表

PIX配置手冊(cè)三(nat)



二、nonat(也稱nat0)不改變?cè)湍繕?biāo) 

  (內(nèi)部地址訪問(wèn)外部地址不需要做轉(zhuǎn)換)(靜態(tài)配置,注意設(shè)備之間的路由)

  1、identity nat跟nat具體地址(有xlate表項(xiàng))

nat (inside) 0 2.2.2.0 255.255.255.0

PIX配置手冊(cè)三(nat)

  2、bypass nat后跟acl (沒(méi)有xlate表項(xiàng))更節(jié)省資源


access-l nonat per ip 2.2.2.0 255.255.255.0 1.1.1.0 255.255.255.0

nat (inside) 0 access-l nonat

PIX配置手冊(cè)三(nat)


三、static + access

靜態(tài)一對(duì)一映射(注意內(nèi)部pix和路由器之間的路由)


1.static


static (inside,outside) 1.1.1.10 2.2.2.2 

(outside:1.1.1.10 inside:2.2.2.2)

PIX配置手冊(cè)三(nat)

如果想讓ping通測(cè)試:icmp對(duì)于pix來(lái)說(shuō)不是一個(gè)有狀態(tài)的協(xié)議,需要訪問(wèn)控制列表放行icmp


放行icmp:

access-l out per icmp any any echo

access-l out per icmp any any echo-

access-l out in interface outside



2.端口轉(zhuǎn)換


static (inside,outside) tcp interface(也可以是外部地址) 2114 2.2.2.2 23(內(nèi)部地址)

access-l out per tcp host 1.1.1.2 host 1.1.1.1 eq 2114

access-g out in interface outside(如果不支持直接應(yīng)用,就需要進(jìn)到借口模式去應(yīng)用)

PIX配置手冊(cè)三(nat)



3.dos防御

static (inside,outside) 1.1.1.10 2.2.2.2 1000(最大的tcp連接數(shù)) 200(最大的tcp半開連接數(shù))


sh static 查看static配置



4.access-list static(外部向內(nèi)部發(fā)起一個(gè)telnet,通過(guò)acl坐靜態(tài)映射)


access-l static per tcp host 2.2.2.2(內(nèi)部地址) eq telnet host 1.1.1.2  里邊出去的流量


static (inside.outside) tcp 1.1.1.10(外部地址) telnet access-list static(內(nèi)部地址) 外邊進(jìn)來(lái)的轉(zhuǎn)換


access-l out per tcp host 1.1.1.2 host 1.1.1.10 eq telnet (定義pix外部接口出去的流量)

access-group out in interface outside

PIX配置手冊(cè)三(nat)




注意:


穿越pix必須做nat 才能通過(guò),然而會(huì)改變?cè)湍繕?biāo)。nonat除外(也稱nat0)不改變?cè)湍繕?biāo)


icmp對(duì)于pix來(lái)說(shuō)不是一個(gè)有狀態(tài)的協(xié)議,需要訪問(wèn)控制列表放行icmp


放行icmp:

access-l out per icmp any any echo

access-l out per icmp any any echo-

access-l out in interface outside


向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI