分享
 
 
 

基础使用ciscopix防火墙

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

1.interface command

在配置用户接口的时候我们经常听到关于接口的专有名词

hardware_id指ethernet 0,e1,e2

interface_name指outside,inside,dmz

hardware_speed,通产设置为自动,但是cisco推荐我们手动配置速度.关于速度和你选择的网络传输介质有关.

no shutdown在router上用户激活这个端口,在pix中,没有no shutdown命令,只有使用到shutdown这个参数,主要用于管理关闭接口.

interface hardware_id hardware_speed [shutdown]

interface e0 auto

interface e1 auto

interface e2 auto

2.nameif command

nameif 主要用于命令一个接口,并且给它分配一个从1到99的安全值,因为外部接口和内部接口都是默认的,分别是0和100,同时默认情况下e0是外部接口,e1是指内部接口.

nameif hardware_id if_name security_level

nameif e0 outside 0

nameif e1 inside 100

nameif e2 dmz 50

使用show nameif来查看配置情况

关于security_level值得区别,请都看看我前面写的.从高安全段的流量到低安全段的流量怎么走,放过又怎么走,需要什么条件才能流进流出.

3.ip address command

cisco pix接口的ip 地址可以从两个地方来获得,分别是 manual 和dhcp

ip address用于手动配置一个接口上的ip address,通过将一个逻辑地址添加到一个硬件ID上.

ip address if_name ip_address [netmask]

ip address inside 192.168.6.0 255.255.255.0

Remove the currently configured ip address pix(config)#clear ip address (全部清除ip address)

pix(config)#no ip address inside 192.168.6.0 255.255.255.0(清除这个接口的ip address)

4.Nat command

用于一组ip 地址转换成另外一组ip 地址,昨天我看到6.2版本支持nat outside ip address,不知道这个究竟在什么环境才用到,呵呵

在用nat命令的时候,有个特别的注意点:nat 0有特殊含义,其次nat 总是和global一起使用.

nat (if_name) nat_id local_ip [netmas]

nat (inside) 1 192.168.6.0 255.255.255.0

5.Global command

global命令用于定义用nat命令转换成的地址或者地址范围,注意global命令中的nat_id需要和你配置的nat命令中的nat_id相同.

global (if_name) nat_id global_ipglobal_ip-global_ip [netmask]

global (outside) 1 10.0.0.1 255.0.0.0 (PAT转换,当你用这个命令,CLI会给你一个警告信息指出pix要PAT的所有地址)

global (outside) 1 10.0.0.1~10.0.0.254 255.0.0.0

这里有这样一个命令可以在pix检测转换表中查看你是否有这个特定ip的入口.show xlate,一般一个被转换的ip address保存在转换表中的默认时间是3个小时.你可以通过timeout xlate hh:ss来更改这个设置.

这里你也同样需要了解PAT是怎么工作的,同样你要知道PAT也有局限,不能支持H.323和高速缓存使用的名称服务器,老实说我也不知道这两个是什么东东:(

6.route command,very important!!!

route告诉我们要在那个特定的接口转发,并指定那个特定的网络地址.使用route命令向pix增加一个静态路由.

route if_name ip_address netmask gateway_ip [metric]

说明一下if_name指你数据要离开处的那个端口

ip_address被路由的ip address

netmask被路由的ip address的网络掩码

gateway_ip 下一跳的ip address

metric到下一个设备的跳数

在pix上用的最多的是配置一个默认路由

route outside 0 0 192.168.1.3 1 其中0 0 表示网段内所有的ip address从outside ip address是192.168.1.3出去

如果你想要测试新的路由配置,在这之前用clear arp清除pix firewall的arp高速缓存is a good idea.

7.RIP command

不讲,不想了解,也不知道,没有见过那个人在配置PIX用过RIP协议的

需要了解的人查书吧,如果你有这方面的经验,可以写出来大家share一下:)

8.测试你的配置,一般有几种,首先查看一下你的配置命令是否正确,show xxxxx来查看。show interface,show nameif,show ip address,show route,show nat,show global 等等.其次使用ping命令,前提是你需要使用icmp permit any any outside,因为默认情况下pix是拒绝所有来自于外部接口的输入流量的,除非你使用conduit permit icmp any any ,但是这个命令使你不能ping通外部接口的ip address.最后是用debug命令,debug icmp trace,建议大家可以看看,但是看了之后最好关掉,以便影响pix的performance.

9.配置每一个pix命令是在pix立刻反应出来的,所以你可以尝试配置,但是不要配置,等你有把握时在保存wr m,但你配置错误,你可以reload一下就可以了.

10.pix对dhcp支持

10.1首先是可以将pix配置为dhcp server.PIX dhcp服务器只能在pix的内部接口上激活,同时你需要查找资料,因为个别的如506/506e,由于OS版本不同,对client ip address支持数目也不同.

dhcpd enable inside

dhcpd address 192.168.10.0-192.168.10.200 255.255.255.0

dhcpd lease 2700 (授权用户的租借长度,默认时间是3600s)

dhcpd dns 61.177.7.1

dhcpd wins 61.177.7.1

dhcpd domain testing.cn

10.2可以将pix的外部接口配置为从ISP处接收地址

ip address outside dhcp [setroute] [retry retry_cnt]

setroute告诉pix防火墙使用默认网关参数设置的DHCP服务器返回的默认路由,当使用setroute选项时不再配置默认路由

同样可以使用ip address dhcp来释放和重建一个外部接口的ip address

通过show ip address dhcp来查看当前的租借信息.

11.时间设置和NTP支持

手动配置和通过NTP服务器获得系统时间.

手动配置clock set hh:mm:ss month day year,关于通过NTP来配置,大家查查资料吧,也没有见过别人来做过,安全要求太高了.

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有