连接和转换(二)
连接和转换(二)

作者:heizi_010101 提交日期:2005-7-8 9:07:00
PIX防火墙主要支持以下4种类型的地址转换:
1,动态内部NAT:动态内部转换用于本地主机的出站连接,从而在Internet上隐藏内部主机的地址。具体实例:
#nat (inside) 1 10.0.0.0 255.255.255.0
#global (outside) 1 192.168.0.1-192.168.0.14 netmask 255.255.255.240
这两条命令通过1这个转换号使转换前和转换后的地址相关联。
2,静态内部NAT:让内部主机固定地使用PIX防火墙全局网络中的一个地址。(个人理解:就是能让低安全性的外部网能建立起向高安全性的内部网的连接。如dmz区的服务器能被internet访问)
对于低安全接别接口到高安全接别接口的连接,可以有两个办法实现:static ,conduit与static
,access-list命令。如:
#static (inside,outside) 192.168.0.10 10.0.0.11
#conduit permit tcp host 192.168.0.10 eq ftp any
192.168.0.10是全局地址。
3,动态外部NAT。这个过程对于出现在PIX防火墙内部接口上的地址的控制和使用重叠地址连接私有网络的情况十分有用。还可以使用dns选项去转换DNS应答。
4,静态外部转换:它主要的作用是简化了将两个具有相同地址段的网络整合在一起。
(个人意见:这四个转换中,主要的是前两个)
#nat 0 关闭地址转换。
策略NAT(不能在策略NAT中使用nat 0):这个特性使你可以基于ACL里定义的源和目的地址,将本地地址转换成不同的全局地址。
连接和转换:转换是定位在TCP/IP协议栈中的IP层,而连接是在传输层。连接是转换的子集。xlate命令允许你显示和清楚转换槽的内容。当一个会话通过PIX建立时,一个转换槽也将被建立。当你修改配置后,先前的转换槽依然存在。当你的配置中添加,修改,删除alias,conduit,golbal,nat,route或者static命令后,需使用clear xlate。
show conn(显示处于活跃的连接) ,show xlate
alias命令两种功能:1,对DNS回复进行DNS解析修正。2,对目的地址进行转换。(个人观点:这两种功能的却粉是因为他们的拓扑所决定。两种相同的拓扑地方是:DNS都在外部,客户端都在内部,不同的地方是:访问的目的服务器前种是和客户端在同一个区域,而后一个不是。在配置DNS支持之前,一定要明白两个先决条件:1,在PIX上使用了nat,2,dns服务器在外部)。在6.2版本一后,可以用nat或static 命令中的dns选项代替。
PAT
#nat (inside) 1 10.0.0.0 255.255.255.0
#global (outside) 1 192.168.0.4 netmask 255.255.255.0或#global (outside) 1 interface
端口重定向:
#static (dmz,outside) tcp 192.168.0.9 8080 172.16.0.2 www netmask 255.255.255 0 0
#日志日期:2005-7-8 星期五(Friday) 晴
天涯“2016年度十大最具影响力博客”评选


登录 | 新人注册>>
输入您的评论:(不支持HTML标签)


验证码
本文所属博客:黑子的狗窝
引用地址:
© 天涯社区