Cisco PIX防火墙配置命令大全(3)

　　9、访问控制列表ACL

　　访问控制列表的命令与couduit命令类似，

　　例：

　　PIX525(config)#access-list100permitipanyhost133.0.0.1eqwww

　　PIX525(config)#access-list100denyipanyany

　　PIX525(config)#access-group100ininterfaceoutside

　　10、侦听命令fixup

　　作用是启用或禁止一个服务或协议，

　　通过指定端口设置PIX防火墙要侦听listen服务的端口。

　　例：

　　PIX525(config)#fixupprotocolftp21

　　启用ftp协议，并指定ftp的端口号为21

　　PIX525(config)#fixupprotocolhttp8080

　　PIX525(config)#nofixupprotocolhttp80

　　启用http协议8080端口，禁止80端口。

　　11、telnet

　　当从外部接口要telnet到PIX防火墙时，telnet数据流需要用vpn隧道ipsec提供保护或

　　在PIX上配置SSH，然后用SSHclient从外部到PIX防火墙。

　　例：

　　telnetlocal_ip[netmask]

　　local_ip表示被授权可以通过telnet访问到PIX的ip地址。

　　如果不设此项，PIX的配置方式只能用console口接超级终端进行。

　　12、显示命令：

　　showinterface　；查看端口状态。

　　showstatic；查看静态地址映射。

　　showip；查看接口ip地址。

　　showconfig；查看配置信息。

　　showrun；显示当前配置信息。

　　writeterminal；将当前配置信息写到终端。

　　showcpuusage；显示CPU利用率，排查故障时常用。

　　showtraffic；查看流量。

　　showblocks；显示拦截的数据包。

　　showmem；显示内存

　　13、DHCP服务

　　PIX具有DHCP服务功能。

　　例：

　　PIX525(config)#ipaddressdhcp

　　PIX525(config)#dhcpdaddress192.168.1.100-192.168.1.200inside

　　PIX525(config)#dhcpdns202.96.128.68202.96.144.47

　　PIX525(config)#dhcpdomainabc.com.cn

　　五、PIX防火墙举例

　　设：

　　ethernet0命名为外部接口outside，安全级别是0。

　　ethernet1被命名为内部接口inside，安全级别100。

　　ethernet2被命名为中间接口dmz，安全级别50。

　　PIX525#conft

　　PIX525(config)#nameifethernet0outsidesecurity0

　　PIX525(config)#nameifethernet1insidesecurity100

　　PIX525(config)#nameifethernet2dmzsecurity50

　　PIX525(config)#interfaceethernet0auto

　　PIX525(config)#interfaceethernet1100full

　　PIX525(config)#interfaceethernet2100full

　　PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252;设置接口IP

　　PIX525(config)#ipaddressinside10.66.1.200255.255.0.0;设置接口IP

　　PIX525(config)#ipaddressdmz10.65.1.200255.255.0.0;设置接口IP

　　PIX525(config)#global(outside)1133.1.0.1-133.1.0.14;定义的地址池

　　PIX525(config)#nat(inside)100;00表示所有

　　PIX525(config)#routeoutside00133.0.0.2;设置默认路由

　　PIX525(config)#static(dmz，outside)133.1.0.110.65.1.101;静态NAT

　　PIX525(config)#static(dmz，outside)133.1.0.210.65.1.102;静态NAT

　　PIX525(config)#static(inside，dmz)10.66.1.20010.66.1.200;静态NAT

　　PIX525(config)#access-list101permitipanyhost133.1.0.1eqwww;设置ACL

　　PIX525(config)#access-list101permitipanyhost133.1.0.2eqftp;设置ACL

　　PIX525(config)#access-list101denyipanyany;设置ACL

　　PIX525(config)#access-group101ininterfaceoutside;将ACL应用在outside端口

　　当内部主机访问外部主机时，通过nat转换成公网IP，访问internet。

　　当内部主机访问中间区域dmz时，将自己映射成自己访问服务器，否则内部主机将会

　　映射成地址池的IP，到外部去找。

　　当外部主机访问中间区域dmz时，对133.0.0.1映射成10.65.1.101，static是双向的。

　　PIX的所有端口默认是关闭的，进入PIX要经过acl入口过滤。

　　静态路由指示内部的主机和dmz的数据包从outside口出去。