成都創(chuàng)新互聯(lián)是一家以網(wǎng)站設(shè)計建設(shè),微信小程序、網(wǎng)站開發(fā)設(shè)計,網(wǎng)絡(luò)軟件產(chǎn)品開發(fā),企業(yè)互聯(lián)網(wǎng)推廣服務(wù)為主的民營科技公司。主要業(yè)務(wù)涵蓋:為客戶提供網(wǎng)站策劃、網(wǎng)站設(shè)計、網(wǎng)站開發(fā)、域名申請、網(wǎng)站優(yōu)化排名、買鏈接等服務(wù)領(lǐng)域。憑借建站老客戶口碑做市場,建設(shè)網(wǎng)站時,根據(jù)市場搜索規(guī)律和搜索引擎的排名收錄規(guī)律編程,全力為建站客戶設(shè)計制作排名好的網(wǎng)站,深受老客戶認可和贊譽。
R1和R2配置上基本的接口和默認路由!
PIX配置:
pixfirewall> en
Password:直接敲回車即可
pixfirewall#
pixfirewall# conf t
pixfirewall(config)# hostname PIX
PIX(config)# int e0
PIX(config-if)# ip address 220.171.1.2 255.255.255.0
PIX(config-if)# security-level 0 外部接口,安全級別為0
PIX(config-if)# nameif outside 外部接口命名
PIX(config-if)# no sh
PIX(config-if)# int e1
PIX(config-if)# ip ad 10.0.1.1 255.255.255.0
PIX(config-if)# security-level 100 內(nèi)部接口,安全級別為100
PIX(config-if)# nameif inside
PIX(config-if)# no sh
現(xiàn)在設(shè)置拒絕內(nèi)部和外部主機ping通防火墻內(nèi)外部接口!
PIX
PIX(config)# icmp deny 0 0 outside 或者icmp deny any outside
PIX(config)# icmp deny 0 0 inside 或者icmp deny any inside
再次ping,結(jié)果如下:
可以看到不能ping通了!
前面的拒絕命令也可以用下面的這種:
PIX(config)# icmp deny 0 0 echo outside /阻止外部主機發(fā)出的echo包
PIX(config)# icmp deny 0 0 echo inside/阻止內(nèi)部主機發(fā)出的echo包
效果一樣!因為當用PING命令時,就會發(fā)出echo數(shù)據(jù)包,作用是讓目的網(wǎng)絡(luò)作出響應(yīng),以查看網(wǎng)絡(luò)是否通暢,是否很快!也叫做回聲數(shù)據(jù),一般是用于確定連接正常的!
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
接下來做:icmp 穿越pix實驗
PIX
PIX(config)# access-list k1 permit icmp any any 內(nèi)部流量過濾,允許內(nèi)部任何流量(此刻ICMP包可出但不可回,后面配置好路由就能回了)
PIX(config)# access-group k1 in interface outside 在outside接口上放行k1指定的流量
PIX(config)# nat (inside) 1 0 0
PIX(config)# global (outside) 1 interface 使用outside接口IP實現(xiàn)端口地址轉(zhuǎn)換
INFO: outside interface address added to PAT pool
PIX(config)# route inside 10.0.2.0 255.255.255.0 10.0.1.2 /實現(xiàn)到內(nèi)部網(wǎng)絡(luò)的路由,下一跳10.0.1.2,否則pix不知如何返回數(shù)據(jù)包
說明:由inside發(fā)出的數(shù)據(jù)包,標簽nat1,到外部時源地址會被outside接口地址轉(zhuǎn)換。由內(nèi)向外的ping包,源地址也會被替換,但ping包出去了,回來時卻被outside接口阻擋。
PIX(config)# global (outside) 1 220.171.1.3-220.171.1.3 255.255.255.0
PIX(config)# nat (inside) 1 10.1.1.0 255.255.255.0
就只允許內(nèi)部PC的10.1.1.0/24網(wǎng)絡(luò)流量使用地址池或PAT