PIX配置手册三(nat)-创新互联

一、nat + glob

创新互联建站于2013年开始,先为五大连池等服务建站,五大连池等地企业,进行企业商务咨询服务。为五大连池企业网站制作PC+手机+微官网三网同步一站式服务解决您的所有建站问题。

1、内部地址转换外部地址池配置说明:

nat (inside) 1 2.2.2.0 255.255.255.0  配置inside表

glob (outside)1 1.1.1.10-1.1.1.20   配置outside表

PIX配置手册三(nat)

sh nat 查看nat inside配置

sh glob 查看nat global配置

sh user 查看设备登陆用户

sh xlate 查看nat转换表

sh conn 查看目前连接的信息

clear xlate 清空xlate转换项

clear nat  清空nat inside配置

clear glob  清空nat global配置

2、外部地址不够,配置PAT,就是转换为out接口地址:

nat (inside)1 2.2.2.0 255.255.255.0

glob (outside)1 interface

PIX配置手册三(nat)

3、nat+pat使用,对于有一段公网地址池,而又不够用的

nat (inside) 1 2.2.2.0 255.255.255.0

glob (outside) 1 1.1.1.10-1.1.1.20

glob (outside) 1 interface

PIX配置手册三(nat)

4、acl控制nat

access-l nat per tcp any any eq telnet

nat (inside) 1 access-l nat

glob (outside)1 interface

sh access-l nat 查看acl nat列表

PIX配置手册三(nat)

二、nonat(也称nat0)不改变原和目标

 (内部地址访问外部地址不需要做转换)(静态配置,注意设备之间的路由)

 1、identity nat跟nat具体地址(有xlate表项)

nat (inside) 0 2.2.2.0 255.255.255.0

PIX配置手册三(nat)

 2、bypass nat后跟acl (没有xlate表项)更节省资源

access-l nonat per ip 2.2.2.0 255.255.255.0 1.1.1.0 255.255.255.0

nat (inside) 0 access-l nonat

PIX配置手册三(nat)

三、static + access

静态一对一映射(注意内部pix和路由器之间的路由)

1.static

static (inside,outside) 1.1.1.10 2.2.2.2

(outside:1.1.1.10 inside:2.2.2.2)

PIX配置手册三(nat)

如果想让ping通测试:icmp对于pix来说不是一个有状态的协议,需要访问控制列表放行icmp

放行icmp:

access-l out per icmp any any echo

access-l out per icmp any any echo-

access-l out in interface outside

2.端口转换

static (inside,outside) tcp interface(也可以是外部地址) 2114 2.2.2.2 23(内部地址)

access-l out per tcp host 1.1.1.2 host 1.1.1.1 eq 2114

access-g out in interface outside(如果不支持直接应用,就需要进到借口模式去应用)

PIX配置手册三(nat)

3.dos防御

static (inside,outside) 1.1.1.10 2.2.2.2 1000(大的tcp连接数) 200(大的tcp半开连接数)

sh static 查看static配置

4.access-list static(外部向内部发起一个telnet,通过acl坐静态映射)

access-l static per tcp host 2.2.2.2(内部地址) eq telnet host 1.1.1.2  里边出去的流量

static (inside.outside) tcp 1.1.1.10(外部地址) telnet access-list static(内部地址) 外边进来的转换

access-l out per tcp host 1.1.1.2 host 1.1.1.10 eq telnet (定义pix外部接口出去的流量)

access-group out in interface outside

PIX配置手册三(nat)

注意:

穿越pix必须做nat 才能通过,然而会改变原和目标。nonat除外(也称nat0)不改变原和目标

icmp对于pix来说不是一个有状态的协议,需要访问控制列表放行icmp

放行icmp:

access-l out per icmp any any echo

access-l out per icmp any any echo-

access-l out in interface outside

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


网站标题:PIX配置手册三(nat)-创新互联
本文来源:http://hbruida.cn/article/cdgpcg.html