用GNS3做PIX防火墙ICMP实验

卡卡520

    R1和R2配置上基本的接口和默认路由！

    PIX配置：

    pixfirewall> en

    Password：直接敲回车即可

    pixfirewall#

    pixfirewall# conf t

    pixfirewall（config）# hostname PIX

    PIX（config）# int e0

    PIX（config-if）# ip address 220.171.1.2 255.255.255.0

    PIX（config-if）# security-level 0 外部接口，安全级别为0

    PIX（config-if）# nameif outside 外部接口命名

    PIX（config-if）# no sh

    PIX（config-if）# int e1

    PIX（config-if）# ip ad 10.0.1.1 255.255.255.0

    PIX（config-if）# security-level 100  内部接口，安全级别为100

    PIX（config-if）# nameif inside

    PIX（config-if）# no sh

    默认情况下，内部设备是可以ping通内部接口的；同理外部设备也是可以ping通外部接口的！

    如图：

    现在设置拒绝内部和外部主机ping通防火墙内外部接口！

    PIX

    PIX（config）# icmp deny 0 0 outside 或者icmp deny any outside

    PIX（config）# icmp deny 0 0 inside  或者icmp deny any inside

    再次ping，结果如下：

    可以看到不能ping通了！

    前面的拒绝命令也可以用下面的这种：

    PIX（config）# icmp deny 0 0 echo outside ／阻止外部主机发出的echo包

    PIX（config）# icmp deny 0 0 echo inside／阻止内部主机发出的echo包

    效果一样！因为当用PING命令时，就会发出echo数据包，作用是让目的网络作出响应，以查看网络是否通畅，是否很快！也叫做回声数据，一般是用于确定连接正常的！

    接下来做：icmp 穿越pix实验

    PIX

    PIX（config）# access-list k1 permit icmp any any 内部流量过滤，允许内部任何流量（此刻ICMP包可出但不可回，后面配置好路由就能回了）

    PIX（config）# access-group k1 in interface outside 在outside接口上放行k1指定的流量

    PIX（config）# nat （inside） 1 0 0

    PIX（config）# global （outside） 1 interface  使用outside接口IP实现端口地址转换

    INFO： outside interface address added to PAT pool

    PIX（config）# route inside 10.0.2.0 255.255.255.0 10.0.1.2 /实现到内部网络的路由，下一跳10.0.1.2，否则pix不知如何返回数据包

    说明：由inside发出的数据包，标签nat1，到外部时源地址会被outside接口地址转换。由内向外的ping包，源地址也会被替换，但ping包出去了，回来时却被outside接口阻挡。

    可以看到从内到外能ping同了！当然也能ping通PIX接口了！

    如果这样配置PIX（config）# global （outside） 1 220.171.1.3-220.171.1.3 255.255.255.0

    PIX（config）# nat （inside） 1 10.1.1.0 255.255.255.0

    就只允许内部PC的10.1.1.0/24网络流量使用地址池或PAT

用GNS3做PIX防火墙ICMP实验