Chinaunix
标题:
CISCO PIX 7.0(5)奇怪的问题
[打印本页]
作者:
frsky
时间:
2009-04-28 16:39
标题:
CISCO PIX 7.0(5)奇怪的问题
PIX Version 7.0(5)
interface Ethernet0
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet1
nameif outside
security-level 0
ip address 88.88.88.88 255.255.255.192
access-list outside_access_in extended permit tcp any host 88.88.88.88 eq www
access-list outside_access_in extended permit tcp any host 88.88.88.77 eq www
global (outside) 1 interface
global (outside) 1 88.88.88.77
nat (inside) 10 192.168.1.0 255.255.255.0
static (inside,outside) tcp 88.88.88.88 www 192.168.1.88 www netmask 255.255.255.255
static (inside,outside) tcp 88.88.88.77 www 192.168.1.77 www netmask 255.255.255.255
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 88.88.88.1 1
防火墙的配置信息,现在的问题是 88.88.88.88 可以通过web进行访问内部的192.168.1.88这个服务器,
但是88.88.88.77无法访问内部的192.168.1.77这个IP。
作者:
seven007
时间:
2009-04-28 17:35
防火墙默认高等级安全性是不允许访问低等级安全性的
PS:你是怎么用88.88.88.88 通过web进行访问内部的192.168.1.88
又是怎么用88.88.88.77访问内部的192.168.1.77?
[
本帖最后由 seven007 于 2009-4-28 17:37 编辑
]
作者:
ssffzz1
时间:
2009-04-29 08:47
global (outside) 1 interface 这2句干吗的???
global (outside) 1 88.88.88.77
nat (inside) 10 192.168.1.0 255.255.255.0 10在那里定义的。
interface Ethernet1
nameif outside
security-level 0
ip address 88.88.88.88 255.255.255.192
可以把87配置为辅助地址吗?
192。168。1。77的网关是否正确?是否有防火墙。
作者:
frsky
时间:
2009-04-29 08:58
global (outside) 1 interface 这2句干吗的???
global (outside) 1 88.88.88.77
这个是定义外网接口地址,因为他有两个IP地址,或者三个IP,或者更多
global (outside) 1 88.88.88.77-100
global (outside) 1 88.88.88.150
global (outside) 1 88.88.88.254
nat (inside) 10 192.168.1.0 255.255.255.0 10在那里定义的。
这个是定义内网映射地址,10,只是序号。
interface Ethernet1
nameif outside
security-level 0
ip address 88.88.88.88 255.255.255.192
可以把87配置为辅助地址吗?
怎么来做? 在e1接口上没办法配置俩IP地址。
192。168。1。77的网关是否正确?是否有防火墙。
这个没错,从防火墙可以正常ping通,设置都是正确的。
作者:
frsky
时间:
2009-04-29 09:00
我现在重新修改了下配置
PIX Version 7.0(5)
interface Ethernet0
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet1
nameif outside
security-level 0
ip address 88.88.88.66 255.255.255.192
access-list outside_access_in extended permit tcp any host 88.88.88.88 eq www
access-list outside_access_in extended permit tcp any host 88.88.88.77 eq www
global (outside) 1 88.88.88.88
global (outside) 1 88.88.88.77
nat (inside) 10 192.168.1.0 255.255.255.0
static (inside,outside) tcp 88.88.88.88 www 192.168.1.88 www netmask 255.255.255.255
static (inside,outside) tcp 88.88.88.77 www 192.168.1.77 www netmask 255.255.255.255
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 88.88.88.1 1
目前还是88正常77不可以访问。
作者:
ssffzz1
时间:
2009-04-29 09:07
global (outside) 1 88.88.88.88
global (outside) 1 88.88.88.77
nat (inside) 10 192.168.1.0 255.255.255.0
改成
global (outside) 1 interface
nat (inside) 1 192.168.1.0 255.255.255.0
另外192。168。1。77 的缺省网关是谁。
作者:
frsky
时间:
2009-04-29 11:32
问题解决了,谢谢ssffzz1 (midnight)
seven007
机房人员疏忽,把网关写成192.168.1.11了,一直没有使用外网,所以网关这样设置一直没有问题。呵呵,还以为防火墙出现问题呢。
欢迎光临 Chinaunix (http://bbs.chinaunix.net/)
Powered by Discuz! X3.2