lias在Cisco PIX防火墻中的用法

2019-11-04 23:43:25

字體：大中小

來源：轉載

供稿：網友

問題：設置防火墻vpn和服務器，DMZ區服務器發布的問題,從互聯網訪問inside或dmz的服務器都很正常，從inside可以上互聯網，但就是不能通過互聯網域名訪問inside和dmz的服務器。

介紹

本文檔闡述lias在Cisco PIX防火墻中的用法.

Alias的兩個功能:
利用DNS Doctoring修正外部DNS服務器回復
o 利用DNS Doctoring,PIX 將"改變" 外部DNS響應的地址到另一個ip，這個地址不同于DNS服務器上真實提供的域名-IP記錄。
o 此功能實現從內部客戶端通過內部IP地址連接到內部服務器上。
轉換目標IP地址的dnat（Destination NAT）到另一個IP。
o 用dnat改變應用程序的標地址.
o 此功能實現從內部客戶端調用外部地址訪問周邊網絡（例如DMZ區），不修改DNS回復。

例如，一臺機器發送數據到99.99.99.99,可使用alias命令把數據重定向到另一個地址10.10.10.10.可使用此命令避免你網絡里的IP與互聯網或另一個企業內部網的IP沖突。請參考pix官方文檔：http://www.cisco.com/univercd/cc/td/doc/PRodUCt/iaabu/pix/index.htm

硬件和軟件版本
· 此文適用于Cisco Secure PIX Firewall Software Releases 5.0.x或更高版本

用DNS Doctoring轉換內部地址
例1：web服務器地址10.10.10.10，對應的外部IP為99.99.99.99.
注重: DNS在防火墻外.在dos提示窗輸入nslookup驗證一下DNS服務器是如何解析你的web服務器的外部IP.客戶端PC應該返回的是內部地址10.10.10.10,因為DNS請求經過PIX已經被它改變了。另外,要讓DNS fixup正常工作, 需禁止proxy-arp功能。假如你為DNS fixup使用alias命令，用列命令禁止proxy-arp
sysopt noproxyarp internal_interface
(注：但是我的PIX525沒用此命令仍然設置成功。)
網絡圖如下：
lias在Cisco PIX防火墻中的用法（圖一）

假如你想用10.10.10.25這臺機器通過www.mydomain.com訪問你的web服務器,我們只需要實現以下alias命令:
alias (inside) 10.10.10.10 99.99.99.99 255.255.255.255
!--- 設置inside端口的DNS Doctoring.，一旦監測到發往inside端口的DNS
!---回復里IP內容為99.99.99.99，則用10.10.10.10替換掉，再發到客戶端PC

接下來，必須為web服務器做靜態地址轉換,為所有人提供web服務器的80端口訪問權(http):
static(inside,outside) 99.99.99.99 10.10.10.10 netmask 255.255.255.255
!--- 此命令建立web服務器真實地址10.10.10.10和外部地址99.99.99.99的轉換

用 access list命令賦予訪問權
access-list 101 permit tcp any host 99.99.99.99 eq www
access-group 101 in interface outside
!--- 答應來自outside的任何用戶訪問web服務器的80端口

假如你喜歡用老版本的語法，可以用conduit命令代替access-list和access-group
conduit permit tcp host 99.99.99.99 eq www any
!--- 答應來自outside的任何用戶訪問web服務器的80端口

用目標NAT(dnat)轉換DMZ地址

假如web服務器在PIX的DMZ區,必須用alias作Destination NAT (dnat).

例2,web服務器在DMZ的地址為192.168.100.10, 外部地址99.99.99.99.我們要用dnat轉換99.99.99.99為web服務器的真實地址192.168.100.10;從inside客戶端發出的DNS請求和回復不會改變. 從inside的PC上看來就象訪問外部地址99.99.99.99一樣,所以DNS回復并未被PIX修改.
網絡圖如下：
lias在Cisco PIX防火墻中的用法（圖二）

我們想從10.10.10.0 /24網絡通過外部域名www.mydomain.com訪問DMZ里的web服務器，并不想讓PIX修改我們的DNS回復。讓PIX作dnat把外部IP地址轉為DMZ里web服務器真實地址192.168.100.10。

注重：當然了，假如從inside訪問dmz里的192.168.100.10都不能夠，光作這個也是不能訪問的，前提是inside用戶能夠外訪，也能訪問到DMZ內部地址：
global (outside) 1 interface
global (dmz) 1 interface
nat (inside) 1 0 0
你不想利用interface占的地址，也可以另指定你相應端口網絡里的地址
global (outside) 1 99.99.99.3
global (dmz) 1 192.168.100.2
nat (inside) 1 0 0

現在，用alias命令作dnat:
alias(inside) 99.99.99.99 192.168.100.10 255.255.255.255
!--- 此句設置dnat.DNS回復不會被PIX修改，因為外部地址99.99.99.99不匹配第二個地址(192.168.100.10)，由于發往客戶端的DNS回復里有與目標地址99.99.99.99匹配，請求會”dnat-ed”.
注重: 此例中IP地址與上面DNS Doctoring的例子中順序相反.

接下來做web服務器的靜態轉換，答應所有人訪問其80端口(http):
static(dmz,outside) 99.99.99.99 192.168.100.10 netmask 255.255.255.255
!--- 建立dmz區服務器地址192.168.100.10與外部地址99.99.99.99間靜態轉換

賦予訪問權，access list命令如下:
access-list 101 permit tcp any host 99.99.99.99 eq www
access-group 101 in interface outside
!--- 答應所有來自outside用戶訪問web服務器80端口.

同樣，也可以使用老版本的conduit命令：
conduit permit tcp host 99.99.99.99 eq www any
!--- 答應所有來自outside用戶訪問web服務器80端口.

配置中的說明
· alias命令里的interface應該是發出請求的客戶端所在那個端口.
· 假如DMZ里也有客戶端PC，需專門為dmz設置的alias命令 (也就是DNS doctoring)，
例如，你想讓DMZ的其他客戶端用外部域名訪問DMZ的web服務器，其實做法已跟例1沒什么區別，為DMZ增加一條alias，做一個DNS Doctoring修改它DNS回復就行了：
alias (dmz) 192.168.100.10 99.99.99.99 255.255.255.255
· 假如PIX有更多的端口，可以為不同的端口作多條alias命令。

上一篇：SOHO交換機告別單兵作戰

下一篇：思科路由器和交換機的萬兆以太網端口類型和可插拔模塊揭密