Cisco PIX防火墙配置命令大全(2)

　　5、nat

　　地址转换命令，将内网的私有ip转换为外网公网ip。

　　nat命令配置语法：nat(if_name)nat_idlocal_ip[netmark]

　　其中：

　　(if_name)：表示接口名称，一般为inside.

　　nat_id：表示地址池，由global命令定义。

　　local_ip：表示内网的ip地址。对于0.0.0.0表示内网所有主机。

　　[netmark]：表示内网ip地址的子网掩码。

　　在实际配置中nat命令总是与global命令配合使用。

　　一个指定外部网络，一个指定内部网络，通过net_id联系在一起。

　　例如：

　　PIX525(config)#nat(inside)100

　　表示内网的所有主机(00)都可以访问由global指定的外网。

　　PIX525(config)#nat(inside)1172.16.5.0255.255.0.0

　　表示只有172.16.5.0/16网段的主机可以访问global指定的外网。

　　6、route

　　route命令定义静态路由。

　　语法：

　　route(if_name)00gateway_ip[metric]

　　其中：

　　(if_name)：表示接口名称。

　　00：表示所有主机

　　Gateway_ip：表示网关路由器的ip地址或下一跳。

　　[metric]：路由花费。缺省值是1。

　　例如：

　　PIX525(config)#routeoutside00133.0.0.11

　　设置缺省路由从outside口送出，下一跳是133.0.0.1。

　　00代表0.0.0.00.0.0.0，表示任意网络。

　　PIX525(config)#routeinside10.1.0.0255.255.0.010.8.0.11

　　设置到10.1.0.0网络下一跳是10.8.0.1。最后的“1”是花费。

　　7、static

　　配置静态IP地址翻译，使内部地址与外部地址一一对应。

　　语法：

　　static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address

　　其中：

　　internal_if_name表示内部网络接口，安全级别较高，如inside。

　　external_if_name表示外部网络接口，安全级别较低，如outside。

　　outside_ip_address表示外部网络的公有ip地址。

　　inside_ip_address表示内部网络的本地ip地址。

　　(括号内序顺是先内后外，外边的顺序是先外后内)

　　例如：

　　PIX525(config)#static(inside，outside)133.0.0.1192.168.0.8

　　表示内部ip地址192.168.0.8，访问外部时被翻译成133.0.0.1全局地址。

　　PIX525(config)#static(dmz，outside)133.0.0.1172.16.0.2

　　中间区域ip地址172.16.0.2，访问外部时被翻译成133.0.0.1全局地址。

　　8、conduit

　　管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。

　　例如允许从outside到DMZ或inside方向的会话(作用同访问控制列表)。

　　语法：

　　conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]

　　其中：

　　global_ip是一台主机时前面加host参数，所有主机时用any表示。

　　foreign_ip表示外部ip。

　　[netmask]表示可以是一台主机或一个网络。

　　例如：

　　PIX525(config)#static(inside，outside)133.0.0.1192.168.0.3

　　PIX525(config)#conduitpermittcphost133.0.0.1eqwwwany

　　这个例子说明static和conduit的关系。192.168.0.3是内网一台web服务器，

　　现在希望外网的用户能够通过PIX防火墙访问web服务。

　　所以先做static静态映射：192.168.0.3－>133.0.0.1

　　然后利用conduit命令允许任何外部主机对全局地址133.0.0.1进行http访问。