Chinaunix

标题: CISCO PIX 7.0(5)奇怪的问题 [打印本页]

作者: frsky 时间: 2009-04-28 16:39
标题: CISCO PIX 7.0(5)奇怪的问题
PIX Version 7.0(5)

interface Ethernet0
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet1
nameif outside
security-level 0
ip address 88.88.88.88 255.255.255.192

access-list outside_access_in extended permit tcp any host 88.88.88.88 eq www
access-list outside_access_in extended permit tcp any host 88.88.88.77 eq www

global (outside) 1 interface
global (outside) 1 88.88.88.77
nat (inside) 10 192.168.1.0 255.255.255.0
static (inside,outside) tcp 88.88.88.88 www 192.168.1.88 www netmask 255.255.255.255
static (inside,outside) tcp 88.88.88.77 www 192.168.1.77 www netmask 255.255.255.255
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 88.88.88.1 1

防火墙的配置信息，现在的问题是 88.88.88.88 可以通过web进行访问内部的192.168.1.88这个服务器，

但是88.88.88.77无法访问内部的192.168.1.77这个IP。

作者: seven007 时间: 2009-04-28 17:35
防火墙默认高等级安全性是不允许访问低等级安全性的

PS:你是怎么用88.88.88.88 通过web进行访问内部的192.168.1.88
又是怎么用88.88.88.77访问内部的192.168.1.77？

[ 本帖最后由 seven007 于 2009-4-28 17:37 编辑 ]

作者: ssffzz1 时间: 2009-04-29 08:47
global (outside) 1 interface 这2句干吗的？？？
global (outside) 1 88.88.88.77
nat (inside) 10 192.168.1.0 255.255.255.0 10在那里定义的。

interface Ethernet1
nameif outside
security-level 0
ip address 88.88.88.88 255.255.255.192

可以把87配置为辅助地址吗？

192。168。1。77的网关是否正确？是否有防火墙。

作者: frsky 时间: 2009-04-29 08:58
global (outside) 1 interface 这2句干吗的？？？
global (outside) 1 88.88.88.77

这个是定义外网接口地址，因为他有两个IP地址，或者三个IP，或者更多
global (outside) 1 88.88.88.77-100
global (outside) 1 88.88.88.150
global (outside) 1 88.88.88.254

nat (inside) 10 192.168.1.0 255.255.255.0 10在那里定义的。

这个是定义内网映射地址，10，只是序号。

interface Ethernet1
nameif outside
security-level 0
ip address 88.88.88.88 255.255.255.192

可以把87配置为辅助地址吗？

怎么来做？在e1接口上没办法配置俩IP地址。

192。168。1。77的网关是否正确？是否有防火墙。
这个没错，从防火墙可以正常ping通，设置都是正确的。

作者: frsky 时间: 2009-04-29 09:00
我现在重新修改了下配置
PIX Version 7.0(5)

interface Ethernet0
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet1
nameif outside
security-level 0
ip address 88.88.88.66 255.255.255.192

access-list outside_access_in extended permit tcp any host 88.88.88.88 eq www
access-list outside_access_in extended permit tcp any host 88.88.88.77 eq www

global (outside) 1 88.88.88.88
global (outside) 1 88.88.88.77
nat (inside) 10 192.168.1.0 255.255.255.0
static (inside,outside) tcp 88.88.88.88 www 192.168.1.88 www netmask 255.255.255.255
static (inside,outside) tcp 88.88.88.77 www 192.168.1.77 www netmask 255.255.255.255
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 88.88.88.1 1

目前还是88正常77不可以访问。

作者: ssffzz1 时间: 2009-04-29 09:07
global (outside) 1 88.88.88.88
global (outside) 1 88.88.88.77
nat (inside) 10 192.168.1.0 255.255.255.0

改成
global (outside) 1 interface
nat (inside) 1 192.168.1.0 255.255.255.0

另外192。168。1。77 的缺省网关是谁。

作者: frsky 时间: 2009-04-29 11:32
问题解决了，谢谢ssffzz1 (midnight)
seven007

机房人员疏忽，把网关写成192.168.1.11了，一直没有使用外网，所以网关这样设置一直没有问题。呵呵，还以为防火墙出现问题呢。

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)