欢迎访客 ( 登陆 | 注册 )

NetBuddy.Org论坛 ->技术论坛 ->网络世界
论坛索引 | 最新主题 | 热门主题 | 搜索论坛 | 成员列表 | 在线帮助

 
pix515 配置遇到问题 请大虾亮剑
« 上一篇主题 | 下一篇主题 » 跟踪主题 | 邮寄主题 | 打印主题
  evon800v 离线
1. pix515 配置遇到问题 请大虾亮剑
HP : 0 / 34
MP : 4 / 490
EXP : 38%
初涉江湖


成员等级: 2
发表总数: 13
金币总数: 43
所属组别: 普通成员
注册日期: 2004/03/3

 互联网可用地址有2个,分别为x.y.z.11 x.y.z.12 网关为x.y.z.1
dmz区为192.168.3.0/24 其中192.168.3.99为web主机(映射为x.y.z.12)
inside区为10.17.144.0/24
所有外出访问想通过pat来翻译,使用地址x.y.z.11(即防火墙outside接口地址)

按照如下配置外网主机可以访问通过地址x.y.z.12访问dmz区192.168.3.99的web
但是Inside区的主机10.17.144.2无法访问外部(如http://www.online.sh.cn)
在10.17.144.2上访问www.online.sh.cn错误后,在pix上用show xlate可以看到以下信息
pix515# sh xlate
2 in use, 2 most used
Global x.y.z.12 Local 192.168.3.99
PAT Global x.y.z.11(1024) Local 10.17.144.2(1028)
pix515# sh route
outside 0.0.0.0 0.0.0.0 x.y.z.1 1 OTHER static
inside 10.17.144.0 255.255.255.0 10.17.144.1 1 CONNECT static
dmz 192.168.3.0 255.255.255.0 192.168.3.1 1 CONNECT static
outside x.y.z.0 255.255.255.0 x.y.z.11 1 CONNECT static

具体配置如下


PIX Version 6.3(4)

interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
enable password *** encrypted
passwd *** encrypted

hostname pix515
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69

names
pager lines 24
mtu outside 1500
mtu inside 1500
mtu dmz 1500

ip address outside x.y.z.11 255.255.255.0
ip address inside 10.17.144.1 255.255.255.0
ip address dmz 192.168.3.1 255.255.255.0

ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400

global (outside) 1 interface
global (dmz) 1 192.168.3.100-192.168.3.250 netmask 255.255.255.0
nat (inside) 1 10.17.144.0 255.255.255.0 0 0
static (dmz,outside) x.y.z.12 192.168.3.99 netmask 255.255.255.255 0 0

conduit permit icmp any any echo-reply
conduit permit tcp host x.y.z.12 eq www any

route outside 0.0.0.0 0.0.0.0 x.y.z.1 1

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:xxyyzz
: end
发表于2006/03/2, 20:46
     Top
  evon800v 离线
2. Re:pix515 配置遇到问题 请大虾亮剑
HP : 0 / 34
MP : 4 / 490
EXP : 38%
初涉江湖


成员等级: 2
发表总数: 13
金币总数: 43
所属组别: 普通成员
注册日期: 2004/03/3

 怎么没有人
发表于2006/03/3, 08:36
     Top
  wyn_82 离线
3. Re:pix515 配置遇到问题 请大虾亮剑
HP : 0 / 261
MP : 51 / 3946
EXP : 46%
武林奇才


成员等级: 11
发表总数: 154
金币总数: 272
所属组别: 普通成员
注册日期: 2003/11/11

 你DMZ和外网的NAT要分别建立吧!你改成下面的配置试试
global (outside) 1 interface
global (dmz) 2 192.168.3.100-192.168.3.250 netmask 255.255.255.0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
nat (inside) 2 10.17.144.0 255.255.255.0 0 0
发表于2006/03/3, 10:39
     Top
  evon800v 离线
4. Re:pix515 配置遇到问题 请大虾亮剑
HP : 0 / 34
MP : 4 / 490
EXP : 38%
初涉江湖


成员等级: 2
发表总数: 13
金币总数: 43
所属组别: 普通成员
注册日期: 2004/03/3

 不行啊,sh xlate返回的翻译也不对了,没有10.17.144.0的翻译了
发表于2006/03/3, 11:57
     Top
  wyn_82 离线
5. Re:pix515 配置遇到问题 请大虾亮剑
HP : 0 / 261
MP : 51 / 3946
EXP : 46%
武林奇才


成员等级: 11
发表总数: 154
金币总数: 272
所属组别: 普通成员
注册日期: 2003/11/11

 access-list 120 permint ip 10.17.144.0 255.255.255.0 192.168.3.0 255.255.255.0

global (dmz) 1 192.168.3.100-192.168.3.250 netmask 255.255.255.0
global (outside) 2 interface
nat (inside) 1 access-list 120
nat (inside) 2 0.0.0.0 0.0.0.0 0 0
nat (dmz) 2 0.0.0.0 0.0.0.0 0 0
发表于2006/03/3, 13:16
     Top
  evon800v 离线
6. Re:pix515 配置遇到问题 请大虾亮剑
HP : 0 / 34
MP : 4 / 490
EXP : 38%
初涉江湖


成员等级: 2
发表总数: 13
金币总数: 43
所属组别: 普通成员
注册日期: 2004/03/3

 还是不行
发表于2006/03/5, 09:35
     Top
主题评分
未评分. 匿名用户无权对主题进行评分
0 名会员正在浏览该主题 (0 名游客 和 0 名隐身会员)
0 名会员:
有 5 篇回复自 2006/03/2, 20:46 跟踪主题 | 邮寄主题 | 打印主题

<< Back to 网络世界

 


Powered by PhoenixBBS v1.2 © 2000-2003  NetBuddy.Org