用GNS3做PIX防火墙ICMP实验
?
R1和R2配置上基本的接口和默認路由!
PIX配置:
?
pixfirewall> en
Password:直接敲回車即可
pixfirewall#
pixfirewall# conf t
pixfirewall(config)# hostname PIX
PIX(config)# int e0
PIX(config-if)# ip address 220.171.1.2 255.255.255.0
PIX(config-if)# security-level 0 外部接口,安全級別為0
PIX(config-if)# nameif outside 外部接口命名
PIX(config-if)# no sh
PIX(config-if)# int e1
PIX(config-if)# ip ad 10.0.1.1 255.255.255.0
PIX(config-if)# security-level 100 ?內部接口,安全級別為100
PIX(config-if)# nameif inside
PIX(config-if)# no sh
默認情況下,內部設備是可以ping通內部接口的;同理外部設備也是可以ping通外部接口的! 如圖:?
?
現在設置拒絕內部和外部主機ping通防火墻內外部接口!
PIX
?
PIX(config)# icmp deny 0 0 outside 或者icmp deny any outside
PIX(config)# icmp deny 0 0 inside ?或者icmp deny any inside
再次ping,結果如下:
?
?
可以看到不能ping通了!
前面的拒絕命令也可以用下面的這種:
?
PIX(config)# icmp deny 0 0 echo outside?/阻止外部主機發出的echo包
PIX(config)# icmp deny 0 0 echo inside/阻止內部主機發出的echo包
效果一樣!因為當用PING命令時,就會發出echo數據包,作用是讓目的網絡作出響應,以查看網絡是否通暢,是否很快!也叫做回聲數據,一般是用于確定連接正常的!
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
接下來做:icmp 穿越pix實驗
PIX
?
?
PIX(config)# access-list k1 permit icmp any any 內部流量過濾,允許內部任何流量(此刻ICMP包可出但不可回,后面配置好路由就能回了)
PIX(config)# access-group k1 in interface outside?在outside接口上放行k1指定的流量
?
PIX(config)# nat (inside) 1 0 0?
PIX(config)# global (outside) 1 interface ?使用outside接口IP實現端口地址轉換
INFO: outside interface address added to PAT pool
?
PIX(config)# route inside 10.0.2.0 255.255.255.0 10.0.1.2 /實現到內部網絡的路由,下一跳10.0.1.2,否則pix不知如何返回數據包
說明:由inside發出的數據包,標簽nat1,到外部時源地址會被outside接口地址轉換。由內向外的ping包,源地址也會被替換,但ping包出去了,回來時卻被outside接口阻擋。
可以看到從內到外能ping同了!當然也能ping通PIX接口了! 如果這樣配置PIX(config)# global (outside) 1 220.171.1.3-220.171.1.3 255.255.255.0?
PIX(config)# nat (inside) 1 10.1.1.0 255.255.255.0
就只允許內部PC的10.1.1.0/24網絡流量使用地址池或PAT
?
?
?
?
?
?
?
轉載于:https://blog.51cto.com/3824597/1191827
超強干貨來襲 云風專訪:近40年碼齡,通宵達旦的技術人生總結
以上是生活随笔為你收集整理的用GNS3做PIX防火墙ICMP实验的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 坚持己见还是随波逐流
- 下一篇: symantec 5220牛刀小试系列(