PIX中Conduit命令用法

  conduit 命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，例如允许从外部到 DMZ 或内部接口的入方向的会话。对于向内部接口的连接， static 和 conduit 命令将一起使用，来指定会话的建立。

conduit 命令配置语法：
conduit deny|permit <protocol> <g_ip> <g_mask> [<operator> <port> [<port>]  <f_ip> <f_mask>

 

其中，

1)      permit | deny 允许 | 拒绝访问

2)      protocol 指的是连接协议，比如： TCP 、 UDP 、 ICMP 等。

3)      g_ip:global_ip 指的是先前由 global 或 static 命令定义的全局 ip 地址，如果 global_ip 为 0 ，就用 any 代替 0 ；如果 global_ip 是一台主机，就用 host 命令参数 + 具体 IP 地址。

4)      port : 指的是服务所作用的端口，例如 www 使用 80 ， smtp 使用 25 等等，我们可以通过服务名称或端口数字来指定端口。

5)      f_ip :foreign_ip 表示可访问 global_ip 的外部 ip 。对于任意主机，可以用 any 表示。如果 foreign_ip 是一台主机，就用 host 命令参数。

 

下面以一个配置实例来具体说明 conduit 的用法。

 

 

 

配置要求：

1、  内网能够 Ping 通外网。

2、  外网能访问内网 192.168.10.1 的 80 端口。

 

主要配置：

1、  NAT 转换

global (outside) 1 interface

nat (inside) 1 192.168.10.0 255.255.255.0

static (inside,outside) tcp 192.168.20.1 www 192.168.10.1 www netmask 255.255.255.255 0 0

 

2、  Conduit 配置

conduit permit icmp any any

conduit permit tcp host 192.168.20.1 eq 80 any

 

个人认为 Conduit 命令简单好用，可以满足一些基本的访问控制要求。不过，在 IOS 6.3 以后， Cisco 通过 ACL 取代了 Conduit 的功能。相对而言， ACL 的应用范围更广，可以用于比较复杂的访问控制。上述配置利用 ACL 的实现方式如下：

 

1、  NAT 转换

< 相同 >

 

2、  ACL 配置

access-list acl_out permit icmp any any

access-list acl_out permit tcp any host 192.168.20.1 eq www

access-group acl_out in interface outside  // 将ACL 应用在outside 端口上

 

 

备注：当端口应用了ACL 以后，Conduit 配置内容失效。换句话说，ACL 与Conduit 配置内容有冲突，端口将按照ACL 的规则进行数据包过滤。

 

声明：以上看法纯属个人认识，有不对之处，还望指正。谢谢！