|
|
 |
|
|
| 1. 理解Cisco Secure PIX Firewall上的alias命令(about DNS & NAT) |
  |
|
 |
|
HP : 0 / 37
MP : 4 / 509
EXP : 50%
|
|
初涉江湖
成员等级: 2
发表总数: 14
金币总数: 79
所属组别: 普通成员
注册日期: 2003/11/20
|
理解Cisco Secure PIX Firewall上的alias命令
(作者:fog编译)
前言:
最近我设置防火墙vpn和服务器,DMZ区服务器发布的问题,从互联网访问inside或dmz的服务器都很正常,从inside可以上互联网,但就是不能通过互联网域名访问inside和dmz的服务器,很是苦恼,用google搜索资料,逛到这个论坛来了,这里还不错,有很多新手和大虾。在我用google搜索的过程中,不停的遇到很多朋友和我一样的问题,但始终没有看到一个妥善解决的办法。有的朋友提到用内部dns作转向,这代价未免太大了,就算是本身有DNS,也不是很方便。个别朋友提到alias和alias的资料,但都没有详细的解说,我到cisco官方网站查到此用法,终于圆满解决了此问题,特将其翻译并加些注意事项作些补充,供大家参考。
介绍
本文档阐述lias在Cisco PIX防火墙中的用法.
Alias的两个功能:
利用DNS Doctoring修正外部DNS服务器回复
o 利用DNS Doctoring,PIX 将"改变" 外部DNS响应的地址到另一个IP,这个地址不同于DNS服务器上真实提供的域名-IP记录。
o 此功能实现从内部客户端通过内部IP地址连接到内部服务器上。
转换目标IP地址的dnat(Destination NAT)到另一个IP。
o 用dnat改变应用程序的标地址.
o 此功能实现从内部客户端调用外部地址访问周边网络(例如DMZ区),不修改DNS回复。
例如,一台机器发送数据到99.99.99.99,可使用alias命令把数据重定向到另一个地址10.10.10.10.可使用此命令避免你网络里的IP与互联网或另一个企业内部网的IP冲突。请参考pix官方文档:http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/index.htm
硬件和软件版本
· 此文适用于Cisco Secure PIX Firewall Software Releases 5.0.x或更高版本
用DNS Doctoring转换内部地址
例1:web服务器地址10.10.10.10,对应的外部IP为99.99.99.99.
注意: DNS在防火墙外.在dos提示窗输入nslookup验证一下DNS服务器是如何解析你的web服务器的外部IP.客户端PC应该返回的是内部地址10.10.10.10,因为DNS请求经过PIX已经被它改变了。另外,要让DNS fixup正常工作, 需禁止proxy-arp功能。 如果你为DNS fixup使用alias命令,用列命令禁止proxy-arp
sysopt noproxyarp internal_interface
(注:但是我的PIX525没用此命令仍然设置成功。)
网络图如下:
如果你想用10.10.10.25这台机器通过www.mydomain.com访问你的web服务器,我们只需要实现以下alias命令:
alias (inside) 10.10.10.10 99.99.99.99 255.255.255.255
!--- 设置inside端口的DNS Doctoring.,一旦监测到发往inside端口的DNS
!---回复里IP内容为99.99.99.99,则用10.10.10.10替换掉,再发到客户端PC
接下来,必须为web服务器做静态地址转换,为所有人提供web服务器的80端口访问权(http):
static(inside,outside) 99.99.99.99 10.10.10.10 netmask 255.255.255.255
!--- 此命令建立web服务器真实地址10.10.10.10和外部地址99.99.99.99的转换
用access list命令赋予访问权
access-list 101 permit tcp any host 99.99.99.99 eq www
access-group 101 in interface outside
!--- 允许来自outside的任何用户访问web服务器的80端口
如果你喜欢用老版本的语法,可以用conduit命令代替access-list和access-group
conduit permit tcp host 99.99.99.99 eq www any
!--- 允许来自outside的任何用户访问web服务器的80端口
用目标NAT(dnat)转换DMZ地址
如果web服务器在PIX的DMZ区,必须用alias作Destination NAT (dnat).
例2,web服务器在DMZ的地址为192.168.100.10, 外部地址99.99.99.99.我们要用dnat转换99.99.99.99为web服务器的真实地址192.168.100.10;从inside客户端发出的DNS请求和回复不会改变. 从inside的PC上看来就象访问外部地址99.99.99.99一样,所以DNS回复并未被PIX修改.
网络图如下:
我们想从10.10.10.0 /24网络通过外部域名www.mydomain.com访问DMZ里的web服务器,并不想让PIX修改我们的DNS回复。让PIX作dnat把外部IP地址转为DMZ里web服务器真实地址192.168.100.10。
注意:当然了,如果从inside访问dmz里的192.168.100.10都不能够,光作这个也是不能访问的,前提是inside用户能够外访,也能访问到DMZ内部地址:
global (outside) 1 interface
global (dmz) 1 interface
nat (inside) 1 0 0
你不想利用interface占的地址,也可以另指定你相应端口网络里的地址
global (outside) 1 99.99.99.3
global (dmz) 1 192.168.100.2
nat (inside) 1 0 0
现在,用alias命令作dnat:
alias(inside) 99.99.99.99 192.168.100.10 255.255.255.255
!--- 此句设置dnat.DNS回复不会被PIX修改,因为外部地址99.99.99.99不匹配第二个地址(192.168.100.10),由于发往客户端的DNS回复里有与目标地址99.99.99.99匹配,请求会”dnat-ed”.
注意: 此例中IP地址与上面DNS Doctoring的例子中顺序相反.
接下来做web服务器的静态转换,允许所有人访问其80端口(http):
static(dmz,outside) 99.99.99.99 192.168.100.10 netmask 255.255.255.255
!--- 建立dmz区服务器地址192.168.100.10与外部地址99.99.99.99间静态转换
赋予访问权,access list命令如下:
access-list 101 permit tcp any host 99.99.99.99 eq www
access-group 101 in interface outside
!--- 允许所有来自outside用户访问web服务器80端口.
同样,也可以使用老版本的conduit命令:
conduit permit tcp host 99.99.99.99 eq www any
!--- 允许所有来自outside用户访问web服务器80端口.
配置中的说明
· alias命令里的interface应该是发出请求的客户端所在那个端口.
· 如果DMZ里也有客户端PC,需专门为dmz设置的alias命令 (也就是DNS doctoring),
例如,你想让DMZ的其他客户端用外部域名访问DMZ的web服务器,其实做法已跟例1没什么区别,为DMZ增加一条alias,做一个DNS Doctoring修改它DNS回复就行了:
alias (dmz) 192.168.100.10 99.99.99.99 255.255.255.255
· 如果PIX有更多的端口,可以为不同的端口作多条alias命令。 |
|
|
|
| 2. Re:理解Cisco Secure PIX Firewall上的alias命令 |
|
|
 |
|
HP : 250 / 1250
MP : 1610 / 20061
EXP : 0%
|
|
迟则生变
成员等级: 51
发表总数: 4832
金币总数: 268
所属组别: 管理员
注册日期: 2003/01/9
|
谢谢! 赠送NBO金币50Gil.
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 3. Re:理解Cisco Secure PIX Firewall上的alias命令 |
|
|
 |
|
HP : 241 / 1209
MP : 1468 / 19391
EXP : 38%
|
|
测试中......
成员等级: 49
发表总数: 4404
金币总数: 250
所属组别: 核心成员
注册日期: 2003/01/10
|
不错,顶一顶
 |
|
|
|
| 4. Re:理解Cisco Secure PIX Firewall上的alias命令 |
|
|
 |
|
HP : 0 / 482
MP : 160 / 6556
EXP : 29%
|
|
名动江湖
成员等级: 20
发表总数: 481
金币总数: 785
所属组别: 中级成员
注册日期: 2003/11/12
|
好文
有一天,我想象到了自己以后的生活:娶一个姿色平庸但有市户口和固定工作的女人。恩爱个一年半载之后彼此厌倦,她摔碟子我砸碗,她整日以泪洗面怨自己命苦遇人不淑,我每天借酒消愁叹怀才不遇人生苦短。墙角坐着一个屁大的孩子涕泗横流仰天长嚎―――天知道是谁家的孩子?
|
|
|
|
| 5. Re:理解Cisco Secure PIX Firewall上的alias命令 |
|
|
 |
|
HP : 94 / 943
MP : 754 / 14066
EXP : 75%
|
|
重定向中
成员等级: 38
发表总数: 2263
金币总数: 679
所属组别: 核心成员
注册日期: 2003/05/31
|
顶!
一切都是没有结局的开始
一切都是稍纵即逝的追寻 |
|
|
|
| 6. Re:理解Cisco Secure PIX Firewall上的alias命令 |
|
|
|
|
|
HP : 0 / 206
MP : 35 / 2787
EXP : 25%
|
|
江湖异人
成员等级: 9
发表总数: 105
金币总数: 184
所属组别: 普通成员
注册日期: 2003/11/22
|
第一个例子中,有几个公网地址,我看起来是一个,和我的问题一样,
我这里是只有一个公网地址,我做了pat,然后作了端口映射,这时外网就可以访问了,但是为什么我用这种方法,我加上alias,外网就不能访问我的服务器,不论是用域名还是用ip地址,去掉alias,外网就可以访问。我是pix515e,版本为6.2(2)。 |
|
|
|
| 7. Re:理解Cisco Secure PIX Firewall上的alias命令 |
|
|
 |
|
HP : 0 / 143
MP : 20 / 2010
EXP : 75%
|
|
拜师学艺
成员等级: 6
发表总数: 62
金币总数: 131
所属组别: 普通成员
注册日期: 2003/09/26
|
好文章,谢谢
| QUOTE | 
A Spider in the Net! |
|
|
|
|
| 8. Re:理解Cisco Secure PIX Firewall上的alias命令 |
|
|
|
|
|
HP : 0 / 206
MP : 35 / 2622
EXP : 25%
|
|
江湖异人
成员等级: 9
发表总数: 105
金币总数: 135
所属组别: 普通成员
注册日期: 2004/03/2
|
精彩,顶。。。。 |
|
|
|
| 9. Re:理解Cisco Secure PIX Firewall上的alias命令 |
|
|
 |
|
HP : 0 / 325
MP : 75 / 3945
EXP : 1%
|
|
名动江湖
成员等级: 14
发表总数: 225
金币总数: 258
所属组别: 中级成员
注册日期: 2004/05/12
|
太好了! |
|
|
|
| 10. good! |
|
|
|
|
|
HP : 0 / 11
MP : 2 / 144
EXP : 47%
|
|
新手上路
成员等级: 1
发表总数: 6
金币总数: 22
所属组别: 普通成员
注册日期: 2004/04/26
|
 |
|
|
|
| 11. Re:理解Cisco Secure PIX Firewall上的alias命令 |
|
|
 |
|
HP : 0 / 192
MP : 31 / 2146
EXP : 68%
|
|
武林侠客
成员等级: 8
发表总数: 94
金币总数: 146
所属组别: 普通成员
注册日期: 2004/09/9
|
作nat的时候,有一个dns的参数可以代替alias用。用了alias后PDM好象不能进行配置,只能monitor。所以尽量不要使用alias。呵呵个人愚见
[no] static [(internal_if_name, external_if_name)] {global_ip | interface} local_ip [dns] [netmask
mask][max_conns [emb_limit [norandomseq]]]
[no] static [(internal_if_name, external_if_name)] {tcp | udp}{global_ip | interface} global_port
local_ip local_port [dns] [netmask mask][max_conns [emb_limit [norandomseq]]] |
|
|
|
| 12. Re:理解Cisco Secure PIX Firewall上的alias命令 |
|
|
|
|
|
HP : 0 / 539
MP : 203 / 6762
EXP : 59%
|
|
名动江湖
成员等级: 22
发表总数: 609
金币总数: 568
所属组别: 高级成员
注册日期: 2004/03/24
|
不错
悠远的天空 |
|
|
|
| 13. Re:理解Cisco Secure PIX Firewall上的alias命令 |
|
|
|
|
|
HP : 0 / 538
MP : 201 / 7426
EXP : 52%
|
|
名动江湖
成员等级: 22
发表总数: 605
金币总数: 351
所属组别: 高级成员
注册日期: 2003/10/16
|
Cisco文档作的翻译,不过值得鼓励 |
|
|
|
| 14. Re:理解Cisco Secure PIX Firewall上的alias命令(about DNS & NA... |
|
|
|
|
|
HP : 241 / 1209
MP : 1468 / 19391
EXP : 38%
|
|
测试中......
成员等级: 49
发表总数: 4404
金币总数: 250
所属组别: 核心成员
注册日期: 2003/01/10
|
在6.3的版本测试了一下。
补充几点。
1 alias建议不用。还是在NAT 的static上加DNS参数好。
static (inside,outside) 218.75.X.X 192.168.0.X dns netmask 255.255.255.255 0 0
2 当你加alias或者加DNS参数的时候,发现还没有起作用。一般有以下原因:
2.1 xlate表没有刷新。使用clear xlate state static清一下,或者重起也可以。
2.2 客户机的DNS缓存没有清空,这时候用nslookup来测试,如果nslookup可以,表示PIX的配置没有问题。
|
|
|
|
| 15. Re:理解Cisco Secure PIX Firewall上的alias命令(about DNS & NA... |
|
|
 |
|
HP : 0 / 341
MP : 82 / 5333
EXP : 66%
|
|
名动江湖
成员等级: 14
发表总数: 246
金币总数: 684
所属组别: 高级成员
注册日期: 2003/03/5
|
好东东,顶一下。
笑一笑,快快乐乐过好每一天。
笑对人生。 |
|
|
|
| 16. Re:理解Cisco Secure PIX Firewall上的alias命令(about DNS & NA... |
|
|
 |
|
HP : 0 / 1
MP : 0 / 0
EXP : 0%
|
|
新手上路
成员等级: 1
发表总数: 2
金币总数: 13
所属组别: 普通成员
注册日期: 2004/11/10
|
好东东! |
|
|
