将运行 5.3.1 的 Pix 升级到 8.0.4。内存/IOS 升级顺利,但 8.0.4 配置并非 100% 正常工作。它所基于的 5.3.1 配置工作正常。
基本上,我有三个网络(内部、外部、dmz),dmz 上的一些地址静态映射到外部地址。问题似乎是这些地址无法发送或接收来自外部(互联网)的流量。没有静态映射的 DMZ 上的东西似乎工作正常。所以,基本上:
内部 -> 外部:有效 内部 -> DMZ:有效 DMZ -> 内部:有效,只要规则允许 DMZ(非静态)-> 外部:有效
但:
DMZ(静态)->外部:失败 外部->DMZ:失败(因此,例如,udp 1194 流量到 .102,http 到 .104)
我怀疑配置的 nat/global 部分中缺少了某些东西,但我无论如何也想不出是什么。有人能帮忙吗?
完整配置如下。感谢您的想法!
! PIX 版本 8.0(4) ! 主机名防火墙 域名 asasdkpaskdspakdpoak.com 启用密码 xxxxxxxx 加密 passwd xxxxxxxx 加密 名称 ! 接口以太网0 nameif 外部 安全级别 0 IP 地址 XX.XX.XX.100 255.255.255.224 ! 以太网1接口 nameif 内部 安全级别 100 IP地址 192.168.68.1 255.255.255.0 ! 以太网2接口 名称if dmz 安全级别 10 IP地址 192.168.69.1 255.255.255.0 ! 启动系统 flash:/image.bin ftp 模式被动 dns 服务器组 DefaultDNS 域名 asasdkpaskdspakdpoak.com 访问列表 acl_out 扩展允许 udp 任何主机 XX.XX.XX.102 eq 1194 访问列表 acl_out 扩展允许 tcp 任何主机 XX.XX.XX.104 eq www 访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.10 主机 192.168.68.17 eq ssh 访问列表 acl_dmz 扩展允许 tcp 10.71.83.0 255.255.255.0 192.168.68.0 255.255.255.0 eq ssh 访问列表 acl_dmz 扩展允许 tcp 10.71.83.0 255.255.255.0 192.168.68.0 255.255.255.0 eq 5901 访问列表 acl_dmz 扩展允许 udp 主机 192.168.69.103 任何 eq ntp 访问列表 acl_dmz 扩展允许 udp 主机 192.168.69.103 任何 eq 域 访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.103 任何 eq www 访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.100 主机 192.168.68.101 eq 3306 访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.100 主机 192.168.68.102 eq 3306 访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.101 主机 192.168.68.101 eq 3306 访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.101 主机 192.168.68.102 eq 3306 访问列表 acl_dmz 扩展允许 tcp 10.71.83.0 255.255.255.0 主机 192.168.68.101 eq 3306 访问列表 acl_dmz 扩展允许 tcp 10.71.83.0 255.255.255.0 主机 192.168.68.102 eq 3306 访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.104 主机 192.168.68.101 eq 3306 访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.104 主机 192.168.68.102 eq 3306 访问列表 acl_dmz 扩展允许 tcp 10.71.83.0 255.255.255.0 主机 192.168.69.104 eq 8080 访问列表 acl_dmz 扩展允许 tcp 10.71.83.0 255.255.255.0 主机 192.168.69.104 eq 8099 访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.105 任何 eq www 访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.103 任何 eq smtp 访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.105 主机 192.168.68.103 eq ssh 访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.104 任何 eq www 访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.100 任何 eq www 访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.100 任何 eq https 传呼机线路 24 mtu 超出 1500 mtu 1500 以内 mtu dmz 1500 icmp 不可达速率限制 1 突发大小 1 没有启用 asdm 历史记录 arp 超时 14400 全局(外部)1 个接口 nat (内部) 1 0.0.0.0 0.0.0.0 nat(dmz)1 0.0.0.0 0.0.0.0 静态(dmz,外部)XX.XX.XX.103 192.168.69.11 网络掩码 255.255.255.255 静态(内部,dmz) 192.168.68.17 192.168.68.17 网络掩码 255.255.255.255 静态(内部,dmz) 192.168.68.100 192.168.68.100 网络掩码 255.255.255.255 静态(内部,dmz) 192.168.68.101 192.168.68.101 网络掩码 255.255.255.255 静态(内部,dmz) 192.168.68.102 192.168.68.102 网络掩码 255.255.255.255 静态(内部,dmz) 192.168.68.103 192.168.68.103 网络掩码 255.255.255.255 静态(dmz,外部)XX.XX.XX.104 192.168.69.100 网络掩码 255.255.255.255 静态(dmz,外部)XX.XX.XX.105 192.168.69.105 网络掩码 255.255.255.255 静态(dmz,外部)XX.XX.XX.102 192.168.69.10 网络掩码 255.255.255.255 接口外部的访问组 acl_out 接口 dmz 中的访问组 acl_dmz 路线外部 0.0.0.0 0.0.0.0 XX.XX.XX.97 1 路由 dmz 10.71.83.0 255.255.255.0 192.168.69.10 1 超时 xlate 3:00:00 超时连接 1:00:00 半封闭 0:10:00 udp 0:02:00 icmp 0:00:02 超时 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 超时 sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 超时 sip-provisional-media 0:02:00 uauth 0:05:00 绝对 动态访问策略记录 DfltAccessPolicy 没有 snmp 服务器位置 没有 snmp 服务器联系 snmp-server 启用陷阱 snmp 身份验证 linkup linkdown coldstart 加密 ipsec 安全关联生存期秒 28800 加密 ipsec 安全关联生存期千字节 4608000 telnet 192.168.68.17 255.255.255.255 内部 telnet 超时 5 ssh 超时 5 控制台超时 0 威胁检测 基本威胁 威胁检测统计访问列表 没有威胁检测统计 tcp 拦截 ! 类映射检查默认 匹配默认检查流量 ! ! 策略映射类型检查 DNS preset_dns_map 参数 消息长度最大为 512 策略图 global_policy 检查类_默认 检查 DNS preset_dns_map 检查 ftp 检查 h323 h225 检查 h323 ras 检查 netbios 检查 rsh 检查 rtsp 检查瘦 检查 esmtp 检查 sqlnet 检查 sunrpc 检查 tftp 检查 SIP 检查 xdmcp ! 服务策略 global_policy 全局 提示主机名上下文 加密校验和:2d1bb2dee2d7a3e45db63a489102d7de
答案1
您必须指定指向 DNS 服务器的接口
dns 域查询外部
答案2
所有 NAT 规则都是从安全性较低的接口到安全性较高的接口;这是不是做事的正常方式。
static (if1,if2) ip1 ip2
将 if2 上的 ip1 显示为 if1 上的 ip2;NAT 后的到第一个提到的是接口,第二个提到的是源接口。
采用第一条静态规则:
static (dmz,outside) XX.XX.XX.103 192.168.69.11 netmask 255.255.255.255
这映射了外部的地址 xx.xx.xx.103外部接口内部的地址 192.158.69.11里面界面。
通常情况下,你会配置完全相反的内容:将内部接口上的内部 IP 192.168.69.11 映射到外部接口上的外部 IP xx.xx.xx.103;这会将 xx.xx.xx.103 接口呈现给外界,允许外部主机连接到该 IP 并到达你的 DMZ 主机:
static (outside,dmz) 192.168.69.11 XX.XX.XX.103 netmask 255.255.255.255
您看到它在其他接口组合上“工作”的原因仅仅是因为它们都符合您之前设置的全局 nat 规则。
我认为您应该从反转这些静态开始,并为所有非静态的内容设置全局池;不要依赖空白的 0:0 NAT!