基于PIX525的NAT配置

PIX525 有三个以太接口，分别接入内网，外网和中间区域。     设置： (pix515 只有两个口而且固定的优先级 ) ePix525#conf t Pix525(config)#nameif ethernet0 inside security100 Pix525(config)#nameif ethernet1 dmz security50 Pix525(config)#nameif ethernet2 outside security0       设置接口工作方式： Pix525(config)#interface ethernet0 auto Pix525(config)#interface ethernet1 auto Pix525(config)#interface ethernet2 auto       设置接口 IP 地址： Pix525(config)#ip address outside 133.0.0.1 255.255.255.252 Pix525(config)#ip address inside 10.66.1.200 255.255.0.0 Pix525(config)#ip address dmz 10.65.1.200 255.255.0.0       定义地址池 1 ： Pix525(config)#global (outside) 1 133.1.0.1-133.1.0.14 netmask 255.255.255.240     (240 对应二进制 11110000)       设置内部主机在 inside 口对外访问的动态 NAT ： Pix525(config)#nat (inside) 1 0 0     1 0 0 表示任意内部主机经地址池 1 进行转换。 inside 口默认 permit any 。       设置对外访问的一条默认路由： Pix525(config)#route outside 0 0 133.0.0.2     0 0 表示任意主机， 133.0.0.2 表示下一跳。       设置静态 NAT ，外部对企业 IP133.1.0.1 的访问变换到 dmz 区的 10.65.1.101: Pix525(config)#static (dmz,outside) 133.1.0.1 10.65.1.101 Pix525(config)#static (dmz,outside) 133.1.0.2 10.65.1.102       括号内接口高安全级在前，后边的 IP 地址是外网在前。 133.1.0.1 和 133.1.0.2 是对外发布的 IP 地址，对这两个 IP 的访问将会被路由到 outside 口。并进行 NAT 转换 , 访问 dmz 中的服务器。       设置内部主机访问 dmz 区时，将自己转换自己 : Pix525(config)#static (inside,dmz) 10.66.0.0 10.66.0.0 netmask 255.255.0.0       设置访问控制例表 : PIX525(config)#access-list 101 permit tcp any host 133.1.0.1 eq www PIX525(config)#access-list 101 permit tcp any host 133.1.0.2 eq ftp PIX525(config)#access-list 101 deny ip any any PIX525(config)#access-group 101 in interface outside   PIX525(config)#show run    ( 显示配置信息 ) PIX525(config)#show static ( 显示静态地址转换列表 ) PIX525(config)#show nat    ( 显示动态地址转换列表 )