Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1339549
  • 博文数量: 464
  • 博客积分: 9399
  • 博客等级: 中将
  • 技术积分: 6364
  • 用 户 组: 普通用户
  • 注册时间: 2011-02-19 09:15
文章分类

全部博文(464)

文章存档

2014年(12)

2013年(123)

2012年(173)

2011年(156)

我的朋友

分类: 系统运维

2011-12-15 16:04:41

只有一个公共固定ip地址,想通过pix506防火墙把内网的web服务器影射到外网,通过static和condui设置。


通过pix做snat使内网用户上网,再做dnat使访问本公网的http服务、ssh服务转换为192.168.4.2的http服务、ssh服务,对192.168.4.2开放本pix的telnet服务

pix515防火墙策略实例

pixfirewall>ena
pixfirewall#

#进入全局配置模式
pixfirewall# conf t

#激活内外端口
interface ethernet0 auto
interface ethernet1 auto

#下面两句配置内外端口的安全级别
nameif ethernet0 outside security0
nameif ethernet1 inside security100

#配置防火墙的用户信息
enable password pix515
hostname pix515
domain-name domain

#下面几句配置内外网卡的IP地址
  ip address inside 192.168.4.1 255.255.255.0
ip address outside 公网IP 公网IP子网掩码

global (outside) 1 interface
 nat (inside) 1 192.168.4.0 255.255.255.0 0 0


#下面两句将定义转发公网IP的ssh和www服务到192.168.4.2
static (inside,outside) tcp 公网IP www 192.168.4.2 www netmask 255.255.255.255 0 0
  static (inside,outside) tcp 公网IP ssh 192.168.4.2 ssh netmask 255.255.255.255 0 0

#下面两句将定义外部允许访问内部主机的服务
conduit permit tcp host 公网IP eq www any
conduit permit tcp host 公网IP eq ssh 信任IP 255.255.255.255

#允许内部服务器telnet pix
telnet 192.168.4.2 255.255.255.0 inside

#下面这句允许ping
conduit permit icmp any any

#下面这句路由网关
route outside 0.0.0.0 0.0.0.0 公网IP网关 1

#保存配置
write memory

 

 

 

顺手写点东西static + acl 的方法 菜鸟的菜文 各位见笑

假定
inside http服务器ip为10.1.1.50
outside只有一个公网出口ip 199.99.99.1

只需配置下面三条命令就能完成
access-list http extended permit tcp any interface outside
access-group http in interface outside
static (inside,outside) tcp interface 8080 10.1.1.50 www netmask 255.255.255.255

至此就可以使用 访问内网的http服务器了

ASA(config)# sh xlate
1 in use, 1 most used
PAT Global 199.99.99.1(8080) Local 10.1.1.50(80)

注意access-list 目的端口要写interface outside
如果是多公网ip的就写ip地址就好了 如还有一个公网地址199.99.99.2
配置如下:

access-list http extended permit tcp any host 2.0.0.3
access-group http in interface outside
static (inside,outside) tcp 199.99.99.2 8080 10.1.1.50 www netmask 255.255.255.255

ASA(config)# sh xlate
1 in use, 1 most used
PAT Global 2.0.0.3(8080) Local 10.1.1.50(80)

访问使用



CCIE Security 2009 IOS防火墙合集


阅读(480) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~