基于PIX525的NAT配置

PIX525 有三个以太接口,分别接入内网,外网和中间区域。
    设置: (pix515 只有两个口而且固定的优先级 )
ePix525#conf t
Pix525(config)#nameif ethernet0 inside security100
Pix525(config)#nameif ethernet1 dmz security50
Pix525(config)#nameif ethernet2 outside security0
 
    设置接口工作方式:
Pix525(config)#interface ethernet0 auto
Pix525(config)#interface ethernet1 auto
Pix525(config)#interface ethernet2 auto
 
    设置接口 IP 地址:
Pix525(config)#ip address outside 133.0.0.1 255.255.255.252
Pix525(config)#ip address inside 10.66.1.200 255.255.0.0
Pix525(config)#ip address dmz 10.65.1.200 255.255.0.0
 
    定义地址池 1
Pix525(config)#global (outside) 1 133.1.0.1-133.1.0.14 netmask
255.255.255.240
    (240 对应二进制 11110000)
 
    设置内部主机在 inside 口对外访问的动态 NAT
Pix525(config)#nat (inside) 1 0 0
    1 0 0 表示任意内部主机经地址池 1 进行转换。 inside 口默认 permit any
 
    设置对外访问的一条默认路由:
Pix525(config)#route outside 0 0 133.0.0.2
    0 0 表示任意主机, 133.0.0.2 表示下一跳。
 
    设置静态 NAT ,外部对企业 IP133.1.0.1 的访问变换到 dmz 区的 10.65.1.101:
Pix525(config)#static (dmz,outside) 133.1.0.1 10.65.1.101
Pix525(config)#static (dmz,outside) 133.1.0.2 10.65.1.102
 
    括号内接口高安全级在前,后边的 IP 地址是外网在前。 133.1.0.1 133.1.0.2
是对外发布的 IP 地址,对这两个 IP 的访问将会被路由到 outside 口。并进行 NAT 转换 ,
访问 dmz 中的服务器。
 
    设置内部主机访问 dmz 区时,将自己转换自己 :
Pix525(config)#static (inside,dmz) 10.66.0.0 10.66.0.0 netmask
255.255.0.0
 
    设置访问控制例表 :
PIX525(config)#access-list 101 permit tcp any host 133.1.0.1 eq www
PIX525(config)#access-list 101 permit tcp any host 133.1.0.2 eq ftp
PIX525(config)#access-list 101 deny ip any any
PIX525(config)#access-group 101 in interface outside
 
PIX525(config)#show run    ( 显示配置信息 )
PIX525(config)#show static ( 显示静态地址转换列表 )
PIX525(config)#show nat    ( 显示动态地址转换列表 )

你可能感兴趣的:(网络,防火墙,休闲,交换,PIX)