论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2009-04-28 16:39 |只看该作者 |倒序浏览

PIX Version 7.0(5)

interface Ethernet0
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet1
nameif outside
security-level 0
ip address 88.88.88.88 255.255.255.192

access-list outside_access_in extended permit tcp any host 88.88.88.88 eq www
access-list outside_access_in extended permit tcp any host 88.88.88.77 eq www

global (outside) 1 interface
global (outside) 1 88.88.88.77
nat (inside) 10 192.168.1.0 255.255.255.0
static (inside,outside) tcp 88.88.88.88 www 192.168.1.88 www netmask 255.255.255.255
static (inside,outside) tcp 88.88.88.77 www 192.168.1.77 www netmask 255.255.255.255
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 88.88.88.1 1

防火墙的配置信息，现在的问题是 88.88.88.88 可以通过web进行访问内部的192.168.1.88这个服务器，

但是88.88.88.77无法访问内部的192.168.1.77这个IP。

思科, 思科

文库|博客

seven007

腰缠万贯

论坛徽章:: 3

2楼 [报告]

发表于 2009-04-28 17:35 |只看该作者

防火墙默认高等级安全性是不允许访问低等级安全性的

PS:你是怎么用88.88.88.88 通过web进行访问内部的192.168.1.88
又是怎么用88.88.88.77访问内部的192.168.1.77？

[ 本帖最后由 seven007 于 2009-4-28 17:37 编辑 ]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ssffzz1

广告杀手

论坛徽章:: 5

3楼 [报告]

发表于 2009-04-29 08:47 |只看该作者

global (outside) 1 interface 这2句干吗的？？？
global (outside) 1 88.88.88.77
nat (inside) 10 192.168.1.0 255.255.255.0 10在那里定义的。

interface Ethernet1
nameif outside
security-level 0
ip address 88.88.88.88 255.255.255.192

可以把87配置为辅助地址吗？

192。168。1。77的网关是否正确？是否有防火墙。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

frsky

白手起家

论坛徽章:: 0

4楼 [报告]

发表于 2009-04-29 08:58 |只看该作者

global (outside) 1 interface 这2句干吗的？？？
global (outside) 1 88.88.88.77

这个是定义外网接口地址，因为他有两个IP地址，或者三个IP，或者更多
global (outside) 1 88.88.88.77-100
global (outside) 1 88.88.88.150
global (outside) 1 88.88.88.254

nat (inside) 10 192.168.1.0 255.255.255.0 10在那里定义的。

这个是定义内网映射地址，10，只是序号。

interface Ethernet1
nameif outside
security-level 0
ip address 88.88.88.88 255.255.255.192

可以把87配置为辅助地址吗？

怎么来做？在e1接口上没办法配置俩IP地址。

192。168。1。77的网关是否正确？是否有防火墙。
这个没错，从防火墙可以正常ping通，设置都是正确的。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

frsky

白手起家

论坛徽章:: 0

5楼 [报告]

发表于 2009-04-29 09:00 |只看该作者

我现在重新修改了下配置
PIX Version 7.0(5)

interface Ethernet0
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet1
nameif outside
security-level 0
ip address 88.88.88.66 255.255.255.192

access-list outside_access_in extended permit tcp any host 88.88.88.88 eq www
access-list outside_access_in extended permit tcp any host 88.88.88.77 eq www

global (outside) 1 88.88.88.88
global (outside) 1 88.88.88.77
nat (inside) 10 192.168.1.0 255.255.255.0
static (inside,outside) tcp 88.88.88.88 www 192.168.1.88 www netmask 255.255.255.255
static (inside,outside) tcp 88.88.88.77 www 192.168.1.77 www netmask 255.255.255.255
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 88.88.88.1 1

目前还是88正常77不可以访问。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ssffzz1

广告杀手

论坛徽章:: 5

6楼 [报告]

发表于 2009-04-29 09:07 |只看该作者

global (outside) 1 88.88.88.88
global (outside) 1 88.88.88.77
nat (inside) 10 192.168.1.0 255.255.255.0

改成
global (outside) 1 interface
nat (inside) 1 192.168.1.0 255.255.255.0

另外192。168。1。77 的缺省网关是谁。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

frsky

白手起家

论坛徽章:: 0

7楼 [报告]

发表于 2009-04-29 11:32 |只看该作者

问题解决了，谢谢ssffzz1 (midnight)
seven007

机房人员疏忽，把网关写成192.168.1.11了，一直没有使用外网，所以网关这样设置一直没有问题。呵呵，还以为防火墙出现问题呢。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

返回列表

Chinaunix › 论坛 › IT运维 › 网络技术 › CISCO PIX 7.0(5)奇怪的问题

CISCO PIX 7.0(5)奇怪的问题 [复制链接]