|
理解PIX Firewall上的alias命令(1)
前言:
最近我设置防火墙vpn和服务器,DMZ区服务器发布的问题,从互联网访问inside或dmz的服务器都很正常,从inside可以上互联网,但就是不能通过互联网域名访问inside和dmz的服务器,很是苦恼,用Google搜索资料,逛到这个论坛来了,这里还不错,有很多新手和大虾。在我用google搜索的过程中,不停的遇到很多朋友和我一样的问题,但始终没有看到一个妥善解决的办法。有的朋友提到用内部dns作转向,这代价未免太大了,就算是本身有DNS,也不是很方便。个别朋友提到alias和alias的资料,但都没有详细的解说,我到cisco官方网站查到此用法,终于圆满解决了此问题,特将其翻译并加些注意事项作些补充,供大家参考。
介绍
本文档阐述lias在Cisco PIX防火墙中的用法.
Alias的两个功能:
利用DNS Doctoring修正外部DNS服务器回复
o 利用DNS Doctoring,PIX 将"改变" 外部DNS响应的地址到另一个IP,这个地址不同于DNS服务器上真实提供的域名-IP记录。
o 此功能实现从内部客户端通过内部IP地址连接到内部服务器上。
转换目标IP地址的dnat(Destination NAT)到另一个IP。
o 用dnat改变应用程序的标地址.
o 此功能实现从内部客户端调用外部地址访问周边网络(例如DMZ区),不修改DNS回复。
例如,一台机器发送数据到99.99.99.99,可使用alias命令把数据重定向到另一个地址10.10.10.10.可使用此命令避免你网络里的IP与互联网或另一个企业内部网的IP冲突。请参考pix官方文档:UCt/iaabu/pix/index.htm">http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/index.htm
硬件和软件版本
· 此文适用于Cisco Secure PIX Firewall Software Releases 5.0.x或更高版本
用DNS Doctoring转换内部地址
例1:web服务器地址10.10.10.10,对应的外部IP为99.99.99.99.
注意: DNS在防火墙外.在dos提示窗输入nslookup验证一下DNS服务器是如何解析你的web服务器的外部IP.客户端PC应该返回的是内部地址10.10.10.10,因为DNS请求经过PIX已经被它改变了。另外,要让DNS fixup正常工作, 需禁止proxy-arp功能。 如果你为DNS fixup使用alias命令,用列命令禁止proxy-arp
sysopt noproxyarp internal_interface
(注:但是我的PIX525没用此命令仍然设置成功。)
网络图如下:
如果你想用10.10.10.25这台机器通过www.mydomain.com访问你的web服务器,我们只需要实现以下alias命令:
alias (inside) 10.10.10.10 99.99.99.99 255.255.255.255
!--- 设置inside端口的DNS Doctoring.,一旦监测到发往inside端口的DNS
!---回复里IP内容为99.99.99.99,则用10.10.10.10替换掉,再发到客户端PC
接下来,必须为web服务器做静态地址转换,为所有人提供web服务器的80端口访问权(http):
static(inside,outside) 99.99.99.99 10.10.10.10 netmask 255.255.255.255
| 
