理解CiscoPIX防火墙的转换和连接(3)

　　PAT命令:

　　PAT允许将本地地址转换

　　成一个单一的全局地址,执行NAT和PAT命令有所相似,不同的是PAT是定义一个单一的全局地址而不是像NAT一样定义一定范围的地址.

　　pix(config)#nat (inside) 1 0.0.0.0 0.0.0.0 表示转换网段中的所以地址

　　pix(config)#global (inside) 10.0.0.1 255.0.0.0

　　静态地址:

　　通常将static和conduit命令一起使用,或者可以使用acl来代替conduit

　　static命令只配置地址转换,为了允许来自一个从低安全等级接口对本地节点的访问,我们前面讲过,需要配置ACL或者建立一个通道.

　　pix(config)#static (inside,outside) 10.0.0.1 192.168.0.9

　　pix(config)#conduit permit tcp host 192.168.0.9 eq www any

　　(这里host表示的是指一个特定的主机host 192.168.0.9表示 192.168.0.9 255.255.255.255为什么要是255.255.255.255,别搞成为subnet mask,它是wildcard,也就是通配符,any表示任何源地址和目的地址,0.0.0.0 255.255.255.255.eq is mean the match only packets on a given port number.)

　　这里我们可以把conduit转换成ACL

　　pix(config)#access-list 101 permit tcp any host 192.168.0.9 eq www

　　pix(config)#access-group 101 in interface outside

　　使用static命令实现端口重定向

　　pix(config)#static (inside,outside) tcp 192.168.0.9 ftp 10.10.10.9 2100 netmask 255.255.255.255. 0.0

　　其中ftp可以用21来表示,在这里的服务与前面的协议对应,是tcp 还是udp,ftp当然对应tcp.

　　这个命令的意思我通过在低安全等级访问192.168.0.9的21端口,它自动转到10.10.10.9 2100这个端口上.

　　在6.2版本以上支持双向网络地址转换,我不知道这个是什么意思?

　　他说可以对外部源IP地址的NAT,以便将外部接口的分组发送到一个内部接口上两个重要的命令:

　　show xlate查看转换表

　　show conn查看连接状况

　　有很多命令选项,大家可以在cli下show xlate ?查看一下,对你处理故障非常有用.

　　5.配置DNS支持

　　在默认情况下,PIX鉴别每个输出的DNS请求,并且只允许一个对这些请求的响应.随后所有对原始查询的响应会被丢弃.

　　所以有时候我们在pix使用show conn看到有很多去DNS的响应都被丢掉,这个是合理的现象.