PIX防火墙NAT设置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.普通NAT:
nat(inside) 1 10.1.1.0 255.255.255.0
global(outside) 1 192.168.0.20-192.160.0.254 netmask 255.255.255.0
如果第一上网的地址是10.1.1.1,那么其转化为192.168.0.20
第二个上网的地址是10.1.1.100,那么转化为192.168.0.21
如果外网地址耗尽,就不能上网了。这叫做动态的转化。
nat(inside) 1 10.1.1.0 255.255.255.0
global(outside) 1 202.100.1.100
目的端口号从1024到65535个。可以有65535-1024个会话
清掉原来的nat
clear config nat
clear config global
clear xlate
没有多余地址,只有物理接口的地址,甚至物理接口的地址还是dhcp或者pppoe来的。fw(config)#nat (inside) 1 10.0.0.0 255.255.0.0
fw(config)#global (outside) 1 interface
这样在网管show user时,虽不知道是哪个网段telnet上来的。但是最少知道是内部的。
2. 用ID来区分同是inside到outside的不同网段的地址转换
nat(inside) 1 10.0.0.0 255.255.255.0
nat(inside) 2 10.2.0.0 255.255.255.0
global (outside) 1 192.168.0.3-192.168.0.16 netmask 255.255.255.0
global(outside) 2 192.168.0.17-192.168.0.32 netmask 255.255.255.0
nat (inside) 1 10.0.1.0 255.255.255.0
nat (inside) 2 10.0.2.0 255.255.255.0
global (outside) 1 192.168.0.8 netmask 255.255.255.255
global (outside) 2 192.168.0.9 netmask 255.255.255.255
3. 三接口nat(3个NA T只用了4句话)
nat (inside) 1 10.0.0.0 255.255.255.0
nat(dmz) 1 172.16.0.0 255.255.255.0
global (outside) 1 192.168.0.20-192.168.0.254 netmast 255.255.255.0
global (dmz) 1 172.16.0.20-172.16.0.254 netmast 255.255.255.0
4.backing up PAT
fw1(config)#nat (inside) 1 10.0.0.0 255.255.255.0
fw1(config)#global (outside) 1 192.168.0.8 netmast 255.255.255.255
fw1(config)#global (outside) 1 192.168.0.9 netmast 255.255.255.255
先用地址8,后用地址9
5.nat和pat共存
fw1(config)#nat (inside) 1 10.0.0.0 255.255.0.0
fw1(config)# global (outside) 1 192.168.0.20-192.168.0.253 netmast 255.255.255.0
fw1(config)#global (outside) 1 192.168.0.254 netmast 255.255.255.255
6.identity nat
fw1(config)#nat(dmz) 0 192.168.0.9 255.255.255.255
nat +源接口+ 0 +源IP地址
来自于dmz去往其他低于其安全等级的流量不进行转换。
默认情况下也是不进行转化,但是这种配置是看的见转换槽位的
7. 端口转换:
端口转换适用的条件是:
内部或者DMZ区域有为外网服务的服务器,必须是inbound的流量。
条件:外部物理接口地址202.100.1.10
内部有192.168.0.1的www server和192.168.0.2的ftp server
static (dmz,outside) tcp interface 80 192.168.0.1 80
static (dmz,outside) tcp interface 21 192.168.0.2 21
access-list out permit tcp any host 202.100.1.10 eq 21
access-list out permit tcp any host 202.100.1.10 eq 80
access-group out in interface outside
8. 转换顺序:
1.nat 0 access-list (nat exemption)
access-list匹配流量,匹配以后不转换
2.static nat
3.static pat(端口转换)
4nat 1 access-list
5.regular nat
9.解决不进行转换的流量问题
nat (inside) 1 10.1.1.0 255.255.255.0
global (outside) 1 interface
因为没有写转换项。结果telnet outside 通,telnet dmz不通。
因为我们不需要转换地址,但是要能够远程网管的。这个时候要补一个命令:
nat (inside) 0 access-list nonat
access-list nonat permit ip 10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0--------这个acl必须是ip的
这样telnet outside 转换地址并且通,telnet dmz,不转换但是通