Cisco PIX 8.0.4,静态地址映射不起作用?

Cisco PIX 8.0.4,静态地址映射不起作用?

将运行 5.3.1 的 Pix 升级到 8.0.4。内存/IOS 升级顺利,但 8.0.4 配置并非 100% 正常工作。它所基于的 5.3.1 配置工作正常。

基本上,我有三个网络(内部、外部、dmz),dmz 上的一些地址静态映射到外部地址。问题似乎是这些地址无法发送或接收来自外部(互联网)的流量。没有静态映射的 DMZ 上的东西似乎工作正常。所以,基本上:

内部 -> 外部:有效 内部 -> DMZ:有效 DMZ -> 内部:有效,只要规则允许 DMZ(非静态)-> 外部:有效

但:

DMZ(静态)->外部:失败 外部->DMZ:失败(因此,例如,udp 1194 流量到 .102,http 到 .104)

我怀疑配置的 nat/global 部分中缺少了某些东西,但我无论如何也想不出是什么。有人能帮忙吗?

完整配置如下。感谢您的想法!


PIX 版本 8.0(4)
主机名防火墙
域名 asasdkpaskdspakdpoak.com
启用密码 xxxxxxxx 加密
passwd xxxxxxxx 加密
名称
接口以太网0
 nameif 外部
 安全级别 0
 IP 地址 XX.XX.XX.100 255.255.255.224
以太网1接口
 nameif 内部
 安全级别 100
 IP地址 192.168.68.1 255.255.255.0
以太网2接口
 名称if dmz
 安全级别 10
 IP地址 192.168.69.1 255.255.255.0
启动系统 flash:/image.bin
ftp 模式被动
dns 服务器组 DefaultDNS
 域名 asasdkpaskdspakdpoak.com
访问列表 acl_out 扩展允许 udp 任何主机 XX.XX.XX.102 eq 1194
访问列表 acl_out 扩展允许 tcp 任何主机 XX.XX.XX.104 eq www
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.10 主机 192.168.68.17 eq ssh
访问列表 acl_dmz 扩展允许 tcp 10.71.83.0 255.255.255.0 192.168.68.0 255.255.255.0 eq ssh
访问列表 acl_dmz 扩展允许 tcp 10.71.83.0 255.255.255.0 192.168.68.0 255.255.255.0 eq 5901
访问列表 acl_dmz 扩展允许 udp 主机 192.168.69.103 任何 eq ntp
访问列表 acl_dmz 扩展允许 udp 主机 192.168.69.103 任何 eq 域
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.103 任何 eq www
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.100 主机 192.168.68.101 eq 3306
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.100 主机 192.168.68.102 eq 3306
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.101 主机 192.168.68.101 eq 3306
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.101 主机 192.168.68.102 eq 3306
访问列表 acl_dmz 扩展允许 tcp 10.71.83.0 255.255.255.0 主机 192.168.68.101 eq 3306
访问列表 acl_dmz 扩展允许 tcp 10.71.83.0 255.255.255.0 主机 192.168.68.102 eq 3306
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.104 主机 192.168.68.101 eq 3306
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.104 主机 192.168.68.102 eq 3306
访问列表 acl_dmz 扩展允许 tcp 10.71.83.0 255.255.255.0 主机 192.168.69.104 eq 8080
访问列表 acl_dmz 扩展允许 tcp 10.71.83.0 255.255.255.0 主机 192.168.69.104 eq 8099
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.105 任何 eq www
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.103 任何 eq smtp
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.105 主机 192.168.68.103 eq ssh
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.104 任何 eq www
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.100 任何 eq www
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.100 任何 eq https
传呼机线路 24
mtu 超出 1500
mtu 1500 以内
mtu dmz 1500
icmp 不可达速率限制 1 突发大小 1
没有启用 asdm 历史记录
arp 超时 14400
全局(外部)1 个接口
nat (内部) 1 0.0.0.0 0.0.0.0
nat(dmz)1 0.0.0.0 0.0.0.0
静态(dmz,外部)XX.XX.XX.103 192.168.69.11 网络掩码 255.255.255.255
静态(内部,dmz) 192.168.68.17 192.168.68.17 网络掩码 255.255.255.255
静态(内部,dmz) 192.168.68.100 192.168.68.100 网络掩码 255.255.255.255
静态(内部,dmz) 192.168.68.101 192.168.68.101 网络掩码 255.255.255.255
静态(内部,dmz) 192.168.68.102 192.168.68.102 网络掩码 255.255.255.255
静态(内部,dmz) 192.168.68.103 192.168.68.103 网络掩码 255.255.255.255
静态(dmz,外部)XX.XX.XX.104 192.168.69.100 网络掩码 255.255.255.255
静态(dmz,外部)XX.XX.XX.105 192.168.69.105 网络掩码 255.255.255.255
静态(dmz,外部)XX.XX.XX.102 192.168.69.10 网络掩码 255.255.255.255
接口外部的访问组 acl_out
接口 dmz 中的访问组 acl_dmz
路线外部 0.0.0.0 0.0.0.0 XX.XX.XX.97 1
路由 dmz 10.71.83.0 255.255.255.0 192.168.69.10 1
超时 xlate 3:00:00
超时连接 1:00:00 半封闭 0:10:00 udp 0:02:00 icmp 0:00:02
超时 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
超时 sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
超时 sip-provisional-media 0:02:00 uauth 0:05:00 绝对
动态访问策略记录 DfltAccessPolicy
没有 snmp 服务器位置
没有 snmp 服务器联系
snmp-server 启用陷阱 snmp 身份验证 linkup linkdown coldstart
加密 ipsec 安全关联生存期秒 28800
加密 ipsec 安全关联生存期千字节 4608000
telnet 192.168.68.17 255.255.255.255 内部
telnet 超时 5
ssh 超时 5
控制台超时 0
威胁检测 基本威胁
威胁检测统计访问列表
没有威胁检测统计 tcp 拦截
类映射检查默认
 匹配默认检查流量
策略映射类型检查 DNS preset_dns_map
 参数
  消息长度最大为 512
策略图 global_policy
 检查类_默认
  检查 DNS preset_dns_map
  检查 ftp
  检查 h323 h225
  检查 h323 ras
  检查 netbios
  检查 rsh
  检查 rtsp
  检查瘦
  检查 esmtp
  检查 sqlnet
  检查 sunrpc
  检查 tftp
  检查 SIP
  检查 xdmcp
服务策略 global_policy 全局
提示主机名上下文
加密校验和:2d1bb2dee2d7a3e45db63a489102d7de

答案1

您必须指定指向 DNS 服务器的接口

dns 域查询外部

答案2

所有 NAT 规则都是从安全性较低的接口到安全性较高的接口;这是不是做事的正常方式。

static (if1,if2) ip1 ip2将 if2 上的 ip1 显示为 if1 上的 ip2;NAT 后的第一个提到的是接口,第二个提到的是源接口。

采用第一条静态规则:
static (dmz,outside) XX.XX.XX.103 192.168.69.11 netmask 255.255.255.255

这映射了外部的地址 xx.xx.xx.103外部接口内部的地址 192.158.69.11里面界面。

通常情况下,你会配置完全相反的内容:将内部接口上的内部 IP 192.168.69.11 映射到外部接口上的外部 IP xx.xx.xx.103;这会将 xx.xx.xx.103 接口呈现给外界,允许外部主机连接到该 IP 并到达你的 DMZ 主机:

static (outside,dmz) 192.168.69.11 XX.XX.XX.103 netmask 255.255.255.255

您看到它在其他接口组合上“工作”的原因仅仅是因为它们都符合您之前设置的全局 nat 规则。

我认为您应该从反转这些静态开始,并为所有非静态的内容设置全局池;不要依赖空白的 0:0 NAT!

相关内容