硬件防火墙的配置过程讲解(6)

　　nat (inside) 1 10.1.6.0 255.255.255.0

　　表示把所有网络地址为10.1.6.0，子网掩码为255.255.255.0的主机地址定义为1号NAT地址组。

　　随后再定义内部地址转换后可用的外部地址池，它所用的命令为global,基本命令格式为：

　　global [(if_name)] nat_id global_ip [netmask [max_conns [em_limit]]] ，各参数解释同上。如：

　　global (outside) 1 175.1.1.3-175.1.1.64 netmask 255.255.255.0

　　将上述nat命令所定的内部IP地址组转换成175.1.1.3~175.1.1.64的外部地址池中的外部IP地址，其子网掩耳盗铃码为255.255.255.0。

　　11. Port Redirection with Statics

　　这是静态端口重定向命令。在Cisco PIX版本6.0以上，增加了端口重定向的功能，允许外部用户通过一个特殊的IP地址/端口通过防火墙传输到内部指定的内部服务器。其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口（PAT），或者是共享的外部端口。这种功能也就是可以发布内部WWW、FTP、Mail等服务器，这种方式并不是直接与内部服务器连接，而是通过端口重定向连接的，所以可使内部服务器很安全。

　　命令格式有两种，分别适用于TCP/UDP通信和非TCP/UDP通信：

　　（1）. static[(internal_if_name, external_if_name)]{global_ip|interface}local_ip[netmask mask] max_conns [emb_limit[norandomseq]]]

　　（2）. static [(internal_if_name, external_if_name)] {tcp|udp}{global_ip|interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]]

　　此命令中的以上各参数解释如下：

　　internal_if_name：内部接口名称；external_if_name：外部接口名称；{tcp|udp}：选择通信协议类型；{global_ip|interface}：重定向后的外部IP地址或共享端口；local_ip：本地IP地址；[netmask mask]：本地子网掩码；max_conns：允许的最大TCP连接数，默认为"0"，即不限制；emb_limit：允许从此端口发起的连接数，默认也为"0"，即不限制；norandomseq：不对数据包排序，此参数通常不用选。

　　现在我们举一个实例，实例要求如下

　　●外部用户向172.18.124.99的主机发出Telnet请求时，重定向到10.1.1.6。

　　●外部用户向172.18.124.99的主机发出FTP请求时，重定向到10.1.1.3。

　　●外部用户向172.18.124.208的端口发出Telnet请求时，重定向到10.1.1.4。

　　●外部用户向防火墙的外部地址172.18.124.216发出Telnet请求时，重定向到10.1.1.5。

　　●外部用户向防火墙的外部地址172.18.124.216发出HTTP请求时，重定向到10.1.1.5。

　　●外部用户向防火墙的外部地址172.18.124.208的8080端口发出HTTP请求时，重定向到10.1.1.7的80号端口。

　　以上重写向过程要求如图2所示，防火墙的内部端口IP地址为10.1.1.2，外部端口地址为172.18.124.216。