PIX IP映射问题

wzknet

网络拓朴图如下：
比如我要实现在WAN路由器能访问到PC，（假如PC的IP地址为192.168.1.66/24，LAN路由器F0/1接口IP为192.168.1.115/24。）
在PIX中做static好像只能成功映射到与PIX E0接口网段（即：192.168.2.0/24），就是说下面这条static映射是成功的：
static (inside,outside) 192.168.3.100 192.168.2.2 netmask 255.255.255.255

但以下这条static即不能成功：

static (inside,outside) 192.168.3.101 192.168.1.66 netmask 255.255.255.255

WAN路由器已配默认路由：

ip route 0.0.0.0 0.0.0.0 172.16.8.1

PIX已配路由：

route inside 192.168.1.0 netmask 255.255.255.0 192.168.2.2 1

LAN路由器已配默认路由：

ip route 0.0.0.0 0.0.0.0 192.168.2.1

PC已配到达172.16.8.0/24的路由：

route add 172.16.8.0 mask 255.255.255.0 192.168.1.115

请大家帮忙分析这是咋回事？

seven007

你PIX上都没有那个网段是直连192.168.1.0/24的怎么能直接映射呢，或者在你LAN f0/1上先做一个192.168.2.X映射到PC上
再到PIX上做一个第二层映射不知可不可以。

wzknet

是不是只能static映射到与PIX inside接口同一网段的主机？

seven007

原帖由 wzknet 于 2008-3-17 13:32 发表
是不是只能static映射到与PIX inside接口同一网段的主机？

个人认为是这样的，正所谓我的地盘我做主

wzknet

版主进来看看。

圣诞老人

是否将你的映射分别在接口上进行了应用。
或者你在lan路由器进行nat，然后在PIX做个nat0（即告诉pix对地址不做转换）

wonderliang

我有两年没玩PIX，但是我记得静态映射可以到达内网，可以跨网段，建议你检查策略，进入防火墙的策略

ssffzz1

原帖由 seven007 于 2008-3-17 19:48 发表

个人认为是这样的，正所谓我的地盘我做主

不是的，只要内网的路由可达即可。 静态映射也就是一对一的DNAT。

boe

原帖由 ssffzz1 于 2008-3-28 19:48 发表



不是的，只要内网的路由可达即可。 静态映射也就是一对一的DNAT。

同意。

楼主说的不成功，具体有什么报错信息？

zmkun

PIX上的配置好像没什么问题，不过记得要permit外网访问内网的，你可以通过show xlate local 192.168.1.66查看到底是否有NAT，可能你数据根本没到PIX

原因在你路由器的配置，因为你路由器上好像没看到192.168.1.0/24的返回路由，192.168.2.0/24的是属于direct路由，无需设置，但192.168.1.0/24需要