‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[求助] PIX 配置中的一个奇怪问题.(PEMU + Dynamips)

johnyan

登堂入室

Rank: 2
1# 发表于 2008-3-15 01:16  只看该作者

PIX 配置中的一个奇怪问题.(PEMU + Dynamips)

PIX 配置中的一个奇怪问题.(PEMU + Dynamips)

拓扑很简单. 用dynamips and pemu 模拟的.

PIX 内网口 ip 10.2.2.22, 接了一个Router, (10.2.2.33 and 10.1.1.33), router再接了一个VMware PC1.(ip 10.1.1.2)
PIX 外网口 ip 192.168.3.22, 接了一个Router, (192.168.3.33 and 192.168.2.33), router再接了一个VMware PC2.(ip 192.168.2.54)
PIX的DMZ这次先没有用来实验,配置不管他

做static (LAN,WAN) 192.168.3.24 10.1.1.2 netmask 255.255.255.255 转换内网PC110.1.1.2 到外网 192.168.3.24. 从内网PC1 怎么也ping不通外网router和pc2(192.168.2.54)
去掉static (LAN,WAN) 192.168.3.24 10.1.1.2 netmask 255.255.255.255命令后, 就可以通. 因为配置了Global 和Nat.

请教各位朋友及老师了.谢谢

pixfirewall(config)# show run
: Saved
:
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
nameif LAN
security-level 100
ip address 10.2.2.22 255.255.255.0
!
interface Ethernet1
nameif WAN
security-level 0
ip address 192.168.3.22 255.255.255.0
!
interface Ethernet2
nameif DMZ
security-level 50
ip address 192.168.151.22 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list acl-wan extended permit icmp any any echo-reply
access-list acl-wan extended permit icmp any any source-quench
access-list acl-wan extended permit icmp any any unreachable
access-list acl-wan extended permit icmp any any time-exceeded
access-list acl-wan extended permit icmp any any echo
pager lines 24
mtu LAN 1500
mtu WAN 1500
mtu DMZ 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-521.bin
no asdm history enable
arp timeout 14400
global (WAN) 1 interface
nat (LAN) 1 10.0.0.0 255.0.0.0
static (LAN,WAN) 192.168.3.24 10.1.1.2 netmask 255.255.255.255
access-group acl-wan in interface LAN
access-group acl-wan out interface LAN
access-group acl-wan in interface WAN
access-group acl-wan out interface WAN
!
router rip
network 10.0.0.0
network 192.168.3.0
network 192.168.120.0
network 192.168.151.0
version 2
!
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
sysopt noproxyarp LAN
sysopt noproxyarp WAN
sysopt noproxyarp DMZ
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
!
prompt hostname context
Cryptochecksum:d005609ad3fbb682af0073c657ea214d
: end
pixfirewall(config)#

TOP

johnyan

登堂入室

Rank: 2
2# 发表于 2008-3-15 01:19  只看该作者
在有static (LAN,WAN) 192.168.3.24 10.1.1.2 netmask 255.255.255.255 的情况下, pix上面调试icmp trace 包的显示.

pixfirewall(config)# ICMP echo request from LAN:10.1.1.2 to WAN:192.168.2.54 ID=
512 seq=9216 len=32
ICMP echo request translating LAN:10.1.1.2 to WAN:192.168.3.24
ICMP echo request from LAN:10.1.1.2 to WAN:192.168.2.54 ID=512 seq=9472 len=32
ICMP echo request translating LAN:10.1.1.2 to WAN:192.168.3.24
ICMP echo request from LAN:10.1.1.2 to WAN:192.168.2.54 ID=512 seq=9728 len=32
ICMP echo request translating LAN:10.1.1.2 to WAN:192.168.3.24
ICMP echo request from LAN:10.1.1.2 to WAN:192.168.2.54 ID=512 seq=9984 len=32
ICMP echo request translating LAN:10.1.1.2 to WAN:192.168.3.24



如果没有static (LAN,WAN) 192.168.3.24 10.1.1.2 netmask 255.255.255.255
pixfirewall(config)# ICMP echo request from LAN:10.1.1.2 to WAN:192.168.2.54 ID
512 seq=8192 len=32
ICMP echo request translating LAN:10.1.1.2/512 to WAN:192.168.3.22/29
ICMP echo reply from WAN:192.168.2.54 to LAN:192.168.3.22 ID=29 seq=8192 len=32
ICMP echo reply untranslating WAN:192.168.3.22/29 to LAN:10.1.1.2/512
ICMP echo request from LAN:10.1.1.2 to WAN:192.168.2.54 ID=512 seq=8448 len=32
ICMP echo request translating LAN:10.1.1.2/512 to WAN:192.168.3.22/29
ICMP echo reply from WAN:192.168.2.54 to LAN:192.168.3.22 ID=29 seq=8448 len=32
ICMP echo reply untranslating WAN:192.168.3.22/29 to LAN:10.1.1.2/512
ICMP echo request from LAN:10.1.1.2 to WAN:192.168.2.54 ID=512 seq=8704 len=32
ICMP echo request translating LAN:10.1.1.2/512 to WAN:192.168.3.22/29
ICMP echo reply from WAN:192.168.2.54 to LAN:192.168.3.22 ID=29 seq=8704 len=32
ICMP echo reply untranslating WAN:192.168.3.22/29 to LAN:10.1.1.2/512
ICMP echo request from LAN:10.1.1.2 to WAN:192.168.2.54 ID=512 seq=8960 len=32
ICMP echo request translating LAN:10.1.1.2/512 to WAN:192.168.3.22/29
ICMP echo reply from WAN:192.168.2.54 to LAN:192.168.3.22 ID=29 seq=8960 len=32

很奇怪的问题吧? 不知道时不是ios的问题. 我用了7.0 和8.0的两个试了,都一样.
acl的问题吗? 我用了permit ip any any, 但是还是一样.
求教了?

TOP

miniboy

初来乍到

Rank: 1
3# 发表于 2008-3-15 09:56  只看该作者
不知道,我的也是内部ping外部网不通
但debug icmp却有显示
icmp permit any outside
icmp permit any inside
也不行
但外部却能ping通pix外部接口
可内部ping外部就是不通

请教下,怎样放行内部的icmp包呀?

TOP

johnyan

登堂入室

Rank: 2
4# 发表于 2008-3-15 10:06  只看该作者
可以参考我的配置, 我 的access-list.
从内ping外
access-list acl-wan extended permit icmp any any echo-reply
access-list acl-wan extended permit icmp any any source-quench
access-list acl-wan extended permit icmp any any unreachable
access-list acl-wan extended permit icmp any any time-exceeded

从外到内
access-list acl-wan extended permit icmp any any echo

TOP

wzknet

初来乍到

Rank: 1
5# 发表于 2008-3-15 12:28  只看该作者
按照思科的说法,当流量从高权限阶位流向低权限阶位时,是不需要配置access-list也能通的,但在用(PEMU + Dynamips)模拟环境中却一定要配置access-list,不然是无法ping通的。

这难道是跟模拟环境有关?

[ 本帖最后由 wzknet 于 2008-3-15 12:30 编辑 ]

TOP

BluShin

恶灵骑士

Rank: 20Rank: 20Rank: 20Rank: 20Rank: 20

高山仰止 景行行之
6# 发表于 2008-3-16 17:11  只看该作者
按照思科的说法,当流量从高权限阶位流向低权限阶位时,是不需要配置access-list也能通的!
楼上说的对,但是我们知道PIX是基于状态流过滤的,而这个从高到底的也是针对状态流的!

而ICMP协议,我们知道是非状态协议,所以如果你确需ICMP协议就需要访问列表放行!~

其实,现在新的OS有更好的解决办法,就是把ICMP协议也进行监测!即可像其他TCP、UDP协议一样进行控制访问!

[ 本帖最后由 BluShin 于 2008-7-5 09:58 编辑 ]
谁谓河广,一苇杭之

开博了:WWW.BluShin.CN

TOP

wzknet

初来乍到

Rank: 1
7# 发表于 2008-3-16 18:10  只看该作者

回复 6# 的帖子

但问题是:
----------------------------------------------
从高权限接口到低权限接口(比如:inside, security-level 100;outside,security-level 0)的流量,无需配nat/global,只要在配置了access-list应用到outside口即可。PIX成了一个路由器。
详细的实验过程见本人BLOG:http://k968888.blog.sohu.com/81849570.html
---------------------------------------------------

[ 本帖最后由 wzknet 于 2008-3-16 20:50 编辑 ]

TOP

sjyaya

初来乍到

Rank: 1
8# 发表于 2008-4-5 13:05  只看该作者
感谢wzknet您的博客..Thanks....

TOP

sjyaya

初来乍到

Rank: 1
9# 发表于 2008-4-5 14:41  只看该作者
引用:
原帖由 wzknet 于 2008-3-16 18:10 发表
但问题是:
----------------------------------------------
从高权限接口到低权限接口(比如:inside, security-level 100;outside,security-level 0)的流量,无需配nat/global,只要在配置了access-list应用到 ...
我也碰到过这个问题,后来我仔细一看是配了static..菜刀版那种拓扑 ..static和nat/global效果相同

[ 本帖最后由 sjyaya 于 2008-4-5 15:00 编辑 ]

TOP

qzgqzgqzg

初来乍到

Rank: 1
10# 发表于 2008-5-17 23:16  只看该作者

终于找到了解决方法

上面兄弟的说法,我也不是很认同,因为在下面的inspection中没有放行,按正常来说,无论怎么样,从内到外是可以正常访问,只不过cisco深度检测中没有放行icmp,从高级别接口向低级的接口发送数据,只要放行了ICMP,是不需要做ACL的,也就是说从高级别的接口ping低级别的接口是不需要理由的,但模拟器,却不行,估计可能是模拟器的原因。所以还是需要在outside接口的in方向上加一条ACL,内容:access-group outside_acl in interface outside

policy-map global_policy
class inspection_default
  inspect icmp

TOP

wq516

初来乍到

Rank: 1
11# 发表于 2008-11-20 13:36  只看该作者
“static (LAN,WAN) 192.168.3.24 10.1.1.2 netmask 255.255.255.255” 这个命令是服务器映射的命令,把一个外网地址映射为一个服务器。所以作了这个命令后必须要做acl放行外网到内网的的流量才行。但是不做“static (LAN,WAN) 192.168.3.24 10.1.1.2 netmask 255.255.255.255”的命令的时候,由于防火墙的机制是状态检测包过滤的机制,并且内网的优先级高可以访问外网低优先级,内网的ping流量经过防火墙状态检测包过滤的机制的机制后到达外网,在状态检测包过滤的机制的作用下就不用acl策略放行既可通讯。

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题