- 论坛徽章:
- 0
|
【求助】苦想,想不出来,帮帮忙啊!是关于pix的疑问!
我以前用过PIX的alias,但没太注意Proxy Arp这东东,我仔细看了一些相关文档,给一些我的想法:(不保证正确,仅仅是推理^-^)
我们知道Alias有两个不同的作用,一是用来做DNS FIXUP, 另一个就是用来做DNAT,所以在PIX上使用了该命令后系统除了做DNS FIXUP外也会具有DNAT的功能。比如使用alias (inside) A B 255.255.255.255, 这里A地址应该为内部地址,B为外部地址(详细的解释可以参见Cisco文章)。PIX将会把所有DNS Reply 包中含有的B地址转换为A地址,而同时PIX也会把Inside端口上收到的目标地址为A的数据包转换为B地址(但是事实上这不应该发生)。
我们也知道Proxy ARP是用来做arp代理解析的,简单来说就是启用该功能的路由设备(PIX也算是路由设备吧)在收到ARP解析的请求包之后,如果发现该IP是在自己另一端口上的一个地址,该路由设备将会发出对该数据包的回应声明自己就是该地址。
这样我们就看到这个问题的症结所在了,PIX上配置alias (inside) A B 255.255.255.255后,如果不禁用Proxy arp,那么防火墙在收到对地址A的ARP解析广播包后,将会发出应答,用自己Inside端口的MAC声明自己是A,而这不是我们希望看到的,因为A本来就在PIX Inside 端口这一侧的网络内。
所以,如果我们希望alias能够正确的进行DNS FIXUP,必须要禁用Proxy ARP。 |
|
免费注册
发表于 2003-03-27 18:21