PIX525有三個以太接口,分別接入內網,外網和中間區域。
設置:(pix515只有兩個口而且固定的優先級)
ePix525#conf t
Pix525(config)#nameif ethernet0 inside security100
Pix525(config)#nameif ethernet1 dmz security50
Pix525(config)#nameif ethernet2 outside security0
設置接口工作方式:
Pix525(config)#interface ethernet0 auto
Pix525(config)#interface ethernet1 auto
Pix525(config)#interface ethernet2 auto
設置接口IP地址:
Pix525(config)#ip address outside 133.0.0.1 255.255.255.252
Pix525(config)#ip address inside 10.66.1.200 255.255.0.0
Pix525(config)#ip address dmz 10.65.1.200 255.255.0.0
定義地址池1:
Pix525(config)#global (outside) 1 133.1.0.1-133.1.0.14 netmask
255.255.255.240
(240對應二進制11110000)
設置內部主機在inside口對外訪問的動態NAT:
Pix525(config)#nat (inside) 1 0 0
1 0 0表示任意內部主機經地址池1進行轉換。inside 口默認permit any。
設置對外訪問的一條默認路由:
Pix525(config)#route outside 0 0 133.0.0.2
0 0表示任意主機,133.0.0.2表示下一跳。
設置靜態NAT,外部對企業IP133.1.0.1的訪問變換到dmz區的10.65.1.101:
Pix525(config)#static (dmz,outside) 133.1.0.1 10.65.1.101
Pix525(config)#static (dmz,outside) 133.1.0.2 10.65.1.102
括號內接口高安全級在前,後邊的IP地址是外網在前。133.1.0.1和133.1.0.2
是對外發布的IP地址,對這兩個IP的訪問將會被路由到outside口。並進行NAT轉換,
訪問dmz中的服務器。
設置內部主機訪問dmz區時,將自己轉換自己:
Pix525(config)#static (inside,dmz) 10.66.0.0 10.66.0.0 netmask
255.255.0.0
設置訪問控制例表:
PIX525(config)#access-list 101 permit tcp any host 133.1.0.1 eq www
PIX525(config)#access-list 101 permit tcp any host 133.1.0.2 eq ftp
PIX525(config)#access-list 101 deny ip any any
PIX525(config)#access-group 101 in interface outside
PIX525(config)#show run (顯示配置信息)
PIX525(config)#show static (顯示靜態地址轉換列表)
PIX525(config)#show nat (顯示動態地址轉換列表)