服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 思科PIX 8.0.4,静态地址映射不工作?
Intereting Posts
如何导入低RAM的大邮箱 从Linux上的桑巴3.6.3 winbind工作,但不与操作系统集成? 我可以安全地从VHD的副本创build新的虚拟机而无需sysprep? 升级服务器软件,无停电期 我应该通过FastCGI模拟PHP吗? 如何将usb0和usb1接口合并到一个networking? 使用clonezilla将v2p从Microsoft Virtual PC迁移到物理zotac mini可能吗? 如何访问MacOS X Lion上的服务器状态? 内网服务器不在互联网上 Subversion:Apache mod_ldap – 30秒用于第一次authentication Awstats – 输出合并的Access_logs的统计信息,仅为一个服务器的日志生成统计信息 在Linode VPS里运行Courier IMAP的奇怪的负载问题 Apache Basic Auth不能在客户networking中工作 将文件从一个驱动器复制到另一个驱动器的速度更快? 访问从给定索引传递给shell脚本的所有variables

思科PIX 8.0.4,静态地址映射不工作?

升级一个正在运行的5.3.1的Pix到8.0.4。 内存/ IOS升级进行得很顺利,但8.0.4configuration并不完全正常。 它所基于的5.3.1configuration工作正常。

基本上,我有三个networking(内部,外部,DMZ)与dmz静态映射到外部地址上的一些地址。 问题似乎是,这些地址无法发送或接收来自外部(互联网)的stream量。DMZ上没有静态映射的东西似乎工作正常。 所以,基本上:

内部 – >外部:工程内部 – > DMZ:工作DMZ – >内部:工作,在规则允许DMZ(非静态) – >外部:工程

但:

DMZ(静态) – >外部:失败外部 – > DMZ:失败(所以说,udp 1194stream量到.102,http到.104)

我怀疑有一些我configuration的NAT /全局部分,但不能为我的生活弄清楚什么。 帮助,任何人?

完整的configuration如下。 感谢您的任何想法! 


 !
 PIX版本8.0(4)
 !
主机名防火墙
域名asasdkpaskdspakdpoak.com
启用密码xxxxxxxxencryption
 passwd xxxxxxxxencryption
名
 !
接口Ethernet0
 外面的名字
 安全级别0
  IP地址XX.XX.XX.100 255.255.255.224
 !
接口Ethernet1
 名称里面
 安全级别100
  IP地址192.168.68.1 255.255.255.0
 !
接口Ethernet2
 名称dmz
 安全级别10
  IP地址192.168.69.1 255.255.255.0
 !
启动系统flash:/image.bin
 FTP模式被动
 dns服务器组DefaultDNS
 域名asasdkpaskdspakdpoak.com
 access-list acl_out extended permit udp any host XX.XX.XX.102 eq 1194
 access-list acl_out扩展许可证tcp任何主机XX.XX.XX.104 eq www
 access-list acl_dmz扩展许可证tcp主机192.168.69.10主机192.168.68.17 eq ssh
 access-list acl_dmz扩展许可证tcp 10.71.83.0 255.255.255.0 192.168.68.0 255.255.255.0 eq ssh
 access-list acl_dmz扩展许可证tcp 10.71.83.0 255.255.255.0 192.168.68.0 255.255.255.0 eq 5901
 access-list acl_dmz扩展许可证udp主机192.168.69.103任何eq ntp
访问列表acl_dmz扩展许可证udp主机192.168.69.103任何eq域名
 access-list acl_dmz扩展许可证tcp主机192.168.69.103 any eq www
 access-list acl_dmz扩展许可证tcp主机192.168.69.100主机192.168.68.101 eq 3306
 access-list acl_dmz扩展许可证tcp主机192.168.69.100主机192.168.68.102 eq 3306
 access-list acl_dmz扩展许可证tcp主机192.168.69.101主机192.168.68.101 eq 3306
 access-list acl_dmz扩展许可证tcp主机192.168.69.101主机192.168.68.102 eq 3306
 access-list acl_dmz扩展许可证tcp 10.71.83.0 255.255.255.0主机192.168.68.101 eq 3306
 access-list acl_dmz扩展许可证tcp 10.71.83.0 255.255.255.0主机192.168.68.102 eq 3306
 access-list acl_dmz扩展许可证tcp主机192.168.69.104主机192.168.68.101 eq 3306
 access-list acl_dmz扩展许可证tcp主机192.168.69.104主机192.168.68.102 eq 3306
 access-list acl_dmz扩展许可证tcp 10.71.83.0 255.255.255.0主机192.168.69.104 eq 8080
 access-list acl_dmz扩展许可证tcp 10.71.83.0 255.255.255.0主机192.168.69.104 eq 8099
 access-list acl_dmz扩展许可证tcp主机192.168.69.105 any eq www
 access-list acl_dmz扩展许可证tcp主机192.168.69.103任何eq smtp
 access-list acl_dmz扩展许可证tcp主机192.168.69.105主机192.168.68.103 eq ssh
 access-list acl_dmz扩展许可证tcp主机192.168.69.104 any eq www
 access-list acl_dmz扩展许可证tcp主机192.168.69.100任何eq www
 access-list acl_dmz扩展许可证tcp主机192.168.69.100任何eq https
传呼机线路24
 mtu 1500以外
 mtu 1500以内
 mtu dmz 1500
 icmp unreachable rate-limit 1 burst-size 1
没有asdm历史启用
 ARP超时14400
全球(外部)1个界面
 nat(内部)1 0.0.0.0 0.0.0.0
 nat(dmz)1 0.0.0.0 0.0.0.0
静态(dmz,外部)XX.XX.XX.103 192.168.69.11networking掩码255.255.255.255
 static(inside,dmz)192.168.68.17 192.168.68.17 netmask 255.255.255.255
 static(inside,dmz)192.168.68.100 192.168.68.100 netmask 255.255.255.255
 static(inside,dmz)192.168.68.101 192.168.68.101 netmask 255.255.255.255
 static(inside,dmz)192.168.68.102 192.168.68.102 netmask 255.255.255.255
 static(inside,dmz)192.168.68.103 192.168.68.103 netmask 255.255.255.255
静态(dmz,外部)XX.XX.XX.104 192.168.69.100networking掩码255.255.255.255
静态(dmz,外部)XX.XX.XX.105 192.168.69.105networking掩码255.255.255.255
静态(dmz,外部)XX.XX.XX.102 192.168.69.10networking掩码255.255.255.255
接口外部的access-group acl_out
在接口dmz中访问组acl_dmz
外线路由0.0.0.0 0.0.0.0 XX.XX.XX.97 1
路线dmz 10.71.83.0 255.255.255.0 192.168.69.10 1
超时xlate 3:00:00
超时连接1:00:00半封闭0:10:00 udp 0:02:00 icmp 0:00:02
 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
超时sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
超时sip-provisional-media 0:02:00 uauth 0:05:00绝对
 dynamic-access-policy-record DfltAccessPolicy
没有snmp服务器的位置
没有snmp-server联系
 snmp-server enable traps snmp authentication linkup linkdown coldstart
encryptionipsec安全关联生存期秒28800
 crypto ipsec安全关联生存期千字节4608000
 telnet 192.168.68.17 255.255.255.255里面
远程login超时5
 SSH超时5
控制台超时0
威胁检测基本威胁
威胁检测统计访问列表
没有威胁检测统计tcp截取
 !
 class-map inspection_default
 匹配默认检查stream量
 !
 !
策略映射types检查dns preset_dns_map
 参数
  消息长度最大512
 policy-map global_policy
  class inspection_default
  检查dns preset_dns_map
  检查ftp
  检查h323 h225
  检查h323 ras
  检查netbios
  检查rsh
  检查rtsp
  检查瘦
  检查esmtp
  检查sqlnet
  检查sunrpc
  检查tftp
  检查一下
  检查xdmcp
 !
服务策略global_policy全局
提示主机名上下文
 Cryptochecksum:2d1bb2dee2d7a3e45db63a489102d7de

您必须指定指向DNS服务器的接口

dns域名查询以外

所有的NAT规则都是从低安全性的接口到高安全性的接口。 这不是正常的做事方式。

static (if1,if2) ip1 ip2将if1上的ip1作为ip1在if1上呈现; 第一个提到了NAT-interface,第二个是源接口。

采取你的第一个静态规则:
static (dmz,outside) XX.XX.XX.103 192.168.69.11 netmask 255.255.255.255

这将外部接口的外部地址xx.xx.xx.103映射到内部接口的内部地址192.158.69.11。

通常情况下,您将configuration完全相反:将内部接口上的内部IP 192.168.69.11映射到外部接口上的外部IP xx.xx.xx.103; 这提供了xx.xx.xx.103接口到外部世界,允许外部主机连接到该IP,并达到您的DMZ主机:

static (outside,dmz) 192.168.69.11 XX.XX.XX.103 netmask 255.255.255.255

你看到它在其他接口组合上“工作”的原因很简单,因为这些都是你先前设置的全局nat规则。

我认为你应该开始颠倒这些静态,并build立一个非静态的全局池。 不要依赖空白的0:0 NAT!