Pix515 防火墙配置策略实例分析_中国IT运维网www.cnitom.com

Pix515 防火墙配置策略实例分析

2005年12月17日
/

需求：想通过pix做snat使内网用户上网，再做dnat使访问本公网IP的http服务、ssh服务转换为192.168.4.2的http服务、ssh服务，对192.168.4.2开放本pix的telnet服务
pix515防火墙配置策略实例
#转换特权用户
pixfirewall>ena
pixfirewall#
#进入全局配置模式
pixfirewall# conf t
#激活内外端口
interface ethernet0 auto
interface ethernet1 auto
#下面两句配置内外端口的安全级别
nameif ethernet0 outside security0
nameif ethernet1 inside security100
#配置防火墙的用户信息
enable password pix515
hostname pix515
domain-name domain
#下面几句配置内外网卡的IP地址
ip address inside 192.168.4.1 255.255.255.0
ip address outside 公网IP 公网IP子网掩码
global (outside) 1 interface
nat (inside) 1 192.168.4.0 255.255.255.0 0 0
#下面两句将定义转发公网IP的ssh和www服务到192.168.4.2
static (inside,outside) tcp 公网IP www 192.168.4.2 www netmask 255.255.255.255 0 0
static (inside,outside) tcp 公网IP ssh 192.168.4.2 ssh netmask 255.255.255.255 0 0
#下面两句将定义外部允许访问内部主机的服务
conduit permit tcp host 公网IP eq www any
conduit permit tcp host 公网IP eq ssh 信任IP 255.255.255.255
#允许内部服务器telnet pix
telnet 192.168.4.2 255.255.255.0 inside
#下面这句允许ping
conduit permit icmp any any
#下面这句路由网关
route outside 0.0.0.0 0.0.0.0 公网IP网关 1
#保存配置
write memory

声明：中国IT运维网登载此文出于传递更多信息之目的，并不意味着本站赞同其观点或证实其描述。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请网友及读者仅作参考，并请自行核实相关内容。如原作者不同意在本网站刊登内容，请及时通知本站予以删除。凡本网站注明"来源：中国IT运维网"的作品，在授权范围内使用时，请保留注明"来源：中国IT运维网"。