R1和R2配置上基本的接口和默認路由!
PIX配置:
pixfirewall> en
Password:直接敲回車即可
pixfirewall#
pixfirewall# conf t
pixfirewall(config)# hostname PIX
PIX(config)# int e0
PIX(config-if)# ip address 220.171.1.2 255.255.255.0
PIX(config-if)# security-level 0 外部接口,安全級別爲0
PIX(config-if)# nameif outside 外部接口命名
PIX(config-if)# no sh
PIX(config-if)# int e1
PIX(config-if)# ip ad 10.0.1.1 255.255.255.0
PIX(config-if)# security-level 100 內部接口,安全級別爲100
PIX(config-if)# nameif inside
PIX(config-if)# no sh
默認情況下,內部設備是可以ping通內部接口的;同理外部設備也是可以ping通外部接口的!
現在設置拒絕內部和外部主機ping通防火牆內外部接口!
PIX
PIX(config)# icmp deny 0 0 outside 或者icmp deny any outside
PIX(config)# icmp deny 0 0 inside 或者icmp deny any inside
再次ping,可以看到不能ping通了!
允許ping通命令
PIX(config)# icmp permit 0 0 outside 或者icmp permit any outside
PIX(config)# icmp permit 0 0 inside 或者icmp permit any inside
前面的拒絕命令也可以用下面的這種:
PIX(config)# icmp deny 0 0 echo outside /阻止外部主機發出的echo包
PIX(config)# icmp deny 0 0 echo inside/阻止內部主機發出的echo包
效果一樣!因爲當用PING命令時,就會發出echo數據包,作用是讓目的網絡作出響應,以查看網絡是否通暢,是否很快!也叫做回聲數據,一般是用於確定連接正常的!
接下來做:icmp 穿越pix實驗
PIX
PIX(config)# access-list k1 permit icmp any any 內部流量過濾,允許內部任何流量(此刻ICMP包可出但不可回,後面配置好路由就能回了)
PIX(config)# access-group k1 in interface outside 在outside接口上放行k1指定的流量
PIX(config)# nat (inside) 1 0 0
PIX(config)# global (outside) 1 interface 使用outside接口IP實現端口地址轉換
INFO: outside interface address added to PAT pool
PIX(config)# route inside 10.0.2.0 255.255.255.0 10.0.1.2 /實現到內部網絡的路由,下一跳10.0.1.2,否則pix不知如何返回數據包
說明:由inside發出的數據包,標籤nat1,到外部時源地址會被outside接口地址轉換。由內向外的ping包,源地址也會被替換,但ping包出去了,回來時卻被outside接口阻擋。
可以看到從內到外能ping同了!當然也能ping通PIX接口了!
如果這樣配置PIX(config)# global (outside) 1 220.171.1.3-220.171.1.3 255.255.255.0
PIX(config)# nat (inside) 1 10.1.1.0 255.255.255.0
就只允許內部PC的10.1.1.0/24網絡流量使用地址池或PAT
用GNS3做PIX防火牆ICMP實驗
轉載於:https://blog.51cto.com/460130/1194170