科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Cisco PIX防火墙配置命令大全(3)

Cisco PIX防火墙配置命令大全(3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会  映射成地址池的IP,到外部去找。

作者:51CTO.COM 2007年10月24日

关键字: 防火墙 CISCO 配置 命令 PIX

  • 评论
  • 分享微博
  • 分享邮件

  9、访问控制列表ACL

  访问控制列表的命令与couduit命令类似,

  例:

  PIX525(config)#access-list100permitipanyhost133.0.0.1eqwww

  PIX525(config)#access-list100denyipanyany

  PIX525(config)#access-group100ininterfaceoutside

  10、侦听命令fixup

  作用是启用或禁止一个服务或协议,

  通过指定端口设置PIX防火墙要侦听listen服务的端口。

  例:

  PIX525(config)#fixupprotocolftp21

  启用ftp协议,并指定ftp的端口号为21

  PIX525(config)#fixupprotocolhttp8080

  PIX525(config)#nofixupprotocolhttp80

  启用http协议8080端口,禁止80端口。

  11、telnet

  当从外部接口要telnet到PIX防火墙时,telnet数据流需要用vpn隧道ipsec提供保护或

  在PIX上配置SSH,然后用SSHclient从外部到PIX防火墙。

  例:

  telnetlocal_ip[netmask]

  local_ip表示被授权可以通过telnet访问到PIX的ip地址。

  如果不设此项,PIX的配置方式只能用console口接超级终端进行。

  12、显示命令:

  showinterface ;查看端口状态。

  showstatic;查看静态地址映射。

  showip;查看接口ip地址。

  showconfig;查看配置信息。

  showrun;显示当前配置信息。

  writeterminal;将当前配置信息写到终端。

  showcpuusage;显示CPU利用率,排查故障时常用。

  showtraffic;查看流量。

  showblocks;显示拦截的数据包。

  showmem;显示内存

  13、DHCP服务

  PIX具有DHCP服务功能。

  例:

  PIX525(config)#ipaddressdhcp

  PIX525(config)#dhcpdaddress192.168.1.100-192.168.1.200inside

  PIX525(config)#dhcpdns202.96.128.68202.96.144.47

  PIX525(config)#dhcpdomainabc.com.cn

  五、PIX防火墙举例

  设:

  ethernet0命名为外部接口outside,安全级别是0。

  ethernet1被命名为内部接口inside,安全级别100。

  ethernet2被命名为中间接口dmz,安全级别50。

  PIX525#conft

  PIX525(config)#nameifethernet0outsidesecurity0

  PIX525(config)#nameifethernet1insidesecurity100

  PIX525(config)#nameifethernet2dmzsecurity50

  PIX525(config)#interfaceethernet0auto

  PIX525(config)#interfaceethernet1100full

  PIX525(config)#interfaceethernet2100full

  PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252;设置接口IP

  PIX525(config)#ipaddressinside10.66.1.200255.255.0.0;设置接口IP

  PIX525(config)#ipaddressdmz10.65.1.200255.255.0.0;设置接口IP

  PIX525(config)#global(outside)1133.1.0.1-133.1.0.14;定义的地址池

  PIX525(config)#nat(inside)100;00表示所有

  PIX525(config)#routeoutside00133.0.0.2;设置默认路由

  PIX525(config)#static(dmz,outside)133.1.0.110.65.1.101;静态NAT

  PIX525(config)#static(dmz,outside)133.1.0.210.65.1.102;静态NAT

  PIX525(config)#static(inside,dmz)10.66.1.20010.66.1.200;静态NAT

  PIX525(config)#access-list101permitipanyhost133.1.0.1eqwww;设置ACL

  PIX525(config)#access-list101permitipanyhost133.1.0.2eqftp;设置ACL

  PIX525(config)#access-list101denyipanyany;设置ACL

  PIX525(config)#access-group101ininterfaceoutside;将ACL应用在outside端口

  当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。

  当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会

  映射成地址池的IP,到外部去找。

  当外部主机访问中间区域dmz时,对133.0.0.1映射成10.65.1.101,static是双向的。

  PIX的所有端口默认是关闭的,进入PIX要经过acl入口过滤。

  静态路由指示内部的主机和dmz的数据包从outside口出去。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章