PIX配置手册三(nat)
一、nat + glob
1、内部地址转换外部地址池配置说明:
nat (inside) 1 2.2.2.0 255.255.255.0 配置inside表
glob (outside)1 1.1.1.10-1.1.1.20 配置outside表
sh nat 查看nat inside配置
sh glob 查看nat global配置
sh user 查看设备登陆用户
sh xlate 查看nat转换表
sh conn 查看目前连接的信息
clear xlate 清空xlate转换项
clear nat 清空nat inside配置
clear glob 清空nat global配置
2、外部地址不够,配置PAT,就是转换为out接口地址:
nat (inside)1 2.2.2.0 255.255.255.0
glob (outside)1 interface
3、nat+pat使用,对于有一段公网地址池,而又不够用的
nat (inside) 1 2.2.2.0 255.255.255.0
glob (outside) 1 1.1.1.10-1.1.1.20
glob (outside) 1 interface
4、acl控制nat
access-l nat per tcp any any eq telnet
nat (inside) 1 access-l nat
glob (outside)1 interface
sh access-l nat 查看acl nat列表
二、nonat(也称nat0)不改变原和目标
(内部地址访问外部地址不需要做转换)(静态配置,注意设备之间的路由)
1、identity nat跟nat具体地址(有xlate表项)
nat (inside) 0 2.2.2.0 255.255.255.0
2、bypass nat后跟acl (没有xlate表项)更节省资源
access-l nonat per ip 2.2.2.0 255.255.255.0 1.1.1.0 255.255.255.0
nat (inside) 0 access-l nonat
三、static + access
静态一对一映射(注意内部pix和路由器之间的路由)
1.static
static (inside,outside) 1.1.1.10 2.2.2.2
(outside:1.1.1.10 inside:2.2.2.2)
如果想让ping通测试:icmp对于pix来说不是一个有状态的协议,需要访问控制列表放行icmp
放行icmp:
access-l out per icmp any any echo
access-l out per icmp any any echo-
access-l out in interface outside
2.端口转换
static (inside,outside) tcp interface(也可以是外部地址) 2114 2.2.2.2 23(内部地址)
access-l out per tcp host 1.1.1.2 host 1.1.1.1 eq 2114
access-g out in interface outside(如果不支持直接应用,就需要进到借口模式去应用)
3.dos防御
static (inside,outside) 1.1.1.10 2.2.2.2 1000(最大的tcp连接数) 200(最大的tcp半开连接数)
sh static 查看static配置
4.access-list static(外部向内部发起一个telnet,通过acl坐静态映射)
access-l static per tcp host 2.2.2.2(内部地址) eq telnet host 1.1.1.2 里边出去的流量
static (inside.outside) tcp 1.1.1.10(外部地址) telnet access-list static(内部地址) 外边进来的转换
access-l out per tcp host 1.1.1.2 host 1.1.1.10 eq telnet (定义pix外部接口出去的流量)
access-group out in interface outside
注意:
穿越pix必须做nat 才能通过,然而会改变原和目标。nonat除外(也称nat0)不改变原和目标
icmp对于pix来说不是一个有状态的协议,需要访问控制列表放行icmp
放行icmp:
access-l out per icmp any any echo
access-l out per icmp any any echo-
access-l out in interface outside
本文转自506554897 51CTO博客,原文链接:http://blog.51cto.com/506554897/1426274,如需转载请自行联系原作者
PIX配置手册三(nat)相关推荐
- 三、防火墙配置(2)---防火墙NAT配置
一.实验内容 1.创建如下图所示的拓扑结构 2.掌握在ASA防火墙上配置NAT(动态NAT.静态NAT.动态PAT.静态PAT) 3.会配置ASA的远程管理(SSH.ASDM) 二.实验环境 操作系统 ...
- CISCO路由器产品配置手册
CISCO路由器产品配置手册 第一章 路由器配置基础2 一.基本设置方式2 二.命令状态2 三.设置对话过程3 四.常用命令5 五.配置IP寻址6 六.配置静态路由8 第二章 广域网协议设置10 一. ...
- cisco3550交换机配置手册
cisco3550交换机配置手册 说明 本手册只包括日常使用的有关命令及特性,其它未涉及的命令及特性请参考英文的详细配置手册. 产品特性 3550EMI是支持二层.三层功能(EMI)的交换机 支持VL ...
- 一个可以直接使用的可用iptables配置的stateless NAT实现
使用iptables配置stateless NAT?我没有搞错. 可能你根本不知道这么多NAT的实现细节,或者说根本不在乎,那么本文就当是一个"如何编写iptables模块"的练习 ...
- Juniper 防火墙简明配置手册
Juniper SRX防火墙简明配置手册 SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由.交换.安全性和一系列丰富的网络服务.目前Juniper公司的 ...
- Oracle 共享磁盘阵列 双机热备 实战 配置教程 配置手册
Oracle 11g共享存储双机热备配置手册 本文介绍 通过ServHA Cluster配置Oracle共享磁盘阵列双机容错集群. 集群软件下载地址:http://www.microcolor.net ...
- Oracle 双机热备 镜像 纯软 实战 配置教程 配置手册
Oracle 11g安装与纯软配置手册 下面要介绍的是Oracle 11g的安装以及通过MicroColor ServHA Mirror配置Oracle集群. 集群软件下载地址: http://www ...
- CISCO路由器配置手册--第五章 虚拟局域网(VLAN)路由
一.虚拟局域网(VLAN) 当前在我们构造企业网络时所采用的主干网络技术一般都是基于交换和虚拟网络的.交换技术将共享介质改为独占介质,大大提高网络速度.虚拟网络技术打破了地理环境的制约,在不改动网络物 ...
- oracle12c双机热备方案,Oracle 共享磁盘阵列 双机热备 实战 配置教程 配置手册
Oracle 11g共享存储双机热备配置手册 本文介绍 通过ServHA Cluster配置Oracle共享磁盘阵列双机容错集群. 主要步骤: 一.防火墙配置. 二.安装Oracle 11g. 三. ...
最新文章
- notification antd 弹窗使用示例
- 分类器是如何做检测的?(1)——CascadeClassifier中的detectMultiScale函数解读
- tidb mysql5.7_MYSQL5.7实时同步数据到TiDB
- Oracle到出dmp
- 低照度监控前景广阔 企业展开激烈角逐
- 原来你竟然是这样的txt?
- SQLServer锁升级
- mysql replace first_Java replaceFirst()方法
- 安全技术可以采用计算机安全,2017年计算机三级《信息安全技术》习题
- 95-872-050-源码-CEP-CEP之模式流与运算符
- 真强啊!建议每一个打算学Java的人都来看看!
- 20200503:力扣187周周赛上
- 优化算法——差分进化算法(DE)
- 深圳恒波软件公司LockDir加密软件原理与破解
- 无法确认设备和计算机之间的连接,代码45的8种解决方法 - 硬件设备没有连接到计算机...
- deepin linux 安装jdk,deepin安装JDK
- 什么是MBR/DPT/DBR/BPB?
- EXCEL慢的解决方法
- 全网官方开放API平台接口整合
- 程开甲院士和他的TFDC模型