用GNS3作PIX防火牆ICMP實驗

 

 

    R1和R2配置上基本的接口和默認 路由！

    PIX配置：

    pixfirewall> en

    Password：直接敲回車便可

    pixfirewall#

    pixfirewall# conf t

    pixfirewall（config）# hostname PIX

    PIX（config）# int e0

    PIX（config-if）# ip address 220.171.1.2 255.255.255.0

    PIX（config-if）# security-level 0 外部接口， 安全級別爲0

    PIX（config-if）# nameif outside 外部接口命名

    PIX（config-if）# no sh

    PIX（config-if）# int e1

    PIX（config-if）# ip ad 10.0.1.1 255.255.255.0

    PIX（config-if）# security-level 100  內部接口， 安全級別爲100

    PIX（config-if）# nameif inside

    PIX（config-if）# no sh

    默認狀況下，內部設備是能夠ping通內部接口的；同理外部設備也是能夠ping通外部接口的！

    如圖：

 

 

    如今設置拒絕內部和外部主機ping通 防火牆內外部接口！

    PIX

    PIX（config）# icmp deny 0 0 outside 或者icmp deny any outside

    PIX（config）# icmp deny 0 0 inside  或者icmp deny any inside

    再次ping，結果以下：

 

 

    能夠看到不能ping通了！

    前面的拒絕命令也能夠用下面的這種：

    PIX（config）# icmp deny 0 0 echo outside ／阻止外部主機發出的echo包

    PIX（config）# icmp deny 0 0 echo inside／阻止內部主機發出的echo包

    效果同樣！由於當用PING命令時，就會發出echo數據包，做用是讓目的網絡做出響應，以查看網絡是否通暢，是否很快！也叫作回聲數據，通常是用於肯定鏈接正常的！

    接下來作：icmp 穿越pix實驗

    PIX

    PIX（config）# access-list k1 permit icmp any any 內部流量過濾，容許內部任何流量（此刻ICMP包可出但不可回，後面配置好路由就能回了）

    PIX（config）# access-group k1 in interface outside 在outside接口上放行k1指定的流量

    PIX（config）# nat （inside） 1 0 0

    PIX（config）# global （outside） 1 interface  使用outside接口IP實現端口地址轉換

    INFO： outside interface address added to PAT pool

    PIX（config）# route inside 10.0.2.0 255.255.255.0 10.0.1.2 /實現到內部網絡的路由，下一跳10.0.1.2，不然pix不知如何返回數據包

    說明：由inside發出的數據包，標籤nat1，到外部時源地址會被outside接口地址轉換。由內向外的ping包，源地址也會被替換，但ping包出去了，回來時卻被outside接口阻擋。

 

    能夠看到從內到外能ping同了！固然也能ping通PIX接口了！

    若是這樣配置PIX（config）# global （outside） 1 220.171.1.3-220.171.1.3 255.255.255.0

    PIX（config）# nat （inside） 1 10.1.1.0 255.255.255.0

    就只容許內部PC的10.1.1.0/24網絡流量使用地址池或PAT

 

用GNS3作PIX防火牆ICMP實驗