2011年1月6日星期四
Cisco PIX设备的nat-control
Cisco PIX Firewall Version 6.3穿越防火墙必须创建转换项: nat或static,没有转换项不能通过防火墙。
到Cisco PIX Firewall Version 7.0以后,不需要转换项能正常的像路由器一样穿越防火墙,但是当nat-control的时候,此时就和6.3一样需要有转换项才能穿越防火墙。
如下所示:
P1-----inside-PIX525-outside-----P2
P1-----inside-PIX525-outside-----P2
11.0.0.0 12.0.0.0
1、如果nat-control关闭,即no nat-control,没有配置nat转换项。
P1可以telnet到P2,没有xlate表项,P2到P1需要有访问列表的支持。
2、如果nat-control关闭,即no nat-control,配置如下nat转换项。
nat (inside) 1 12.0.0.0 255.0.0.0
global (outside) 1 interface
P1可以telnet到P2,此时有xlate表项,因为可以匹配nat转换项。
3、如果natcontrol关闭,即no nat-control,配置了如下nat转换项。
P1可以telnet到P2,但是不会出现xlate表项,因为流量不能匹配nat转换项,但是由于nat-control是关闭的,P1可以telnet到P2。
4、如果nat-control开启,没有配置nat转换项。
P1不能telnet到P2。
5、如果nat-control开启,并配置如下nat转换项。
2、如果nat-control关闭,即no nat-control,配置如下nat转换项。
nat (inside) 1 12.0.0.0 255.0.0.0
global (outside) 1 interface
P1可以telnet到P2,此时有xlate表项,因为可以匹配nat转换项。
3、如果natcontrol关闭,即no nat-control,配置了如下nat转换项。
nat (inside) 1 192.168.1.0 255.255.255.0
global (outside) 1 interface
P1可以telnet到P2,但是不会出现xlate表项,因为流量不能匹配nat转换项,但是由于nat-control是关闭的,P1可以telnet到P2。
4、如果nat-control开启,没有配置nat转换项。
P1不能telnet到P2。
5、如果nat-control开启,并配置如下nat转换项。
nat (inside) 1 12.0.0.0 255.0.0.0
global (outside) 1 interface
P1可以telnet到P2,有xlate表项。
6、如果nat-control开启,并配置如下nat转换项。
nat (inside) 1 192.168.1.0 255.255.255.0
global (outside) 1 interface
P1不能telnet到P2,无xlate表项,因为nat-control做了控制。
建议7.0以上版本的pix或asa打开nat-control,多一层防护。
标签: Cisco PIX, nat-control
// 发贴者:放牛娃的春天 @ 一月 06, 2011 
订阅 博文 [Atom]