温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

用GNS3做PIX防火墙ICMP实验

发布时间:2020-07-25 00:04:24 来源:网络 阅读:1389 作者:s饭团 栏目:安全技术

 

用GNS3做PIX防火墙ICMP实验

R1和R2配置上基本的接口和默认路由!

PIX配置:

 

pixfirewall> en

Password:直接敲回车即可

pixfirewall#

pixfirewall# conf t

pixfirewall(config)# hostname PIX

PIX(config)# int e0

PIX(config-if)# ip address 220.171.1.2 255.255.255.0

PIX(config-if)# security-level 0 外部接口,安全级别为0

PIX(config-if)# nameif outside 外部接口命名

PIX(config-if)# no sh

PIX(config-if)# int e1

PIX(config-if)# ip ad 10.0.1.1 255.255.255.0

PIX(config-if)# security-level 100  内部接口,安全级别为100

PIX(config-if)# nameif inside

PIX(config-if)# no sh

默认情况下,内部设备是可以ping通内部接口的;同理外部设备也是可以ping通外部接口的!
如图:
 

用GNS3做PIX防火墙ICMP实验

 

 

用GNS3做PIX防火墙ICMP实验

现在设置拒绝内部和外部主机ping通防火墙内外部接口!

PIX

 

PIX(config)# icmp deny 0 0 outside 或者icmp deny any outside

PIX(config)# icmp deny 0 0 inside  或者icmp deny any inside

再次ping,结果如下:

 

用GNS3做PIX防火墙ICMP实验

 

用GNS3做PIX防火墙ICMP实验

 

可以看到不能ping通了!

前面的拒绝命令也可以用下面的这种:

 

PIX(config)# icmp deny 0 0 echo outside /阻止外部主机发出的echo包

PIX(config)# icmp deny 0 0 echo inside/阻止内部主机发出的echo包

效果一样!因为当用PING命令时,就会发出echo数据包,作用是让目的网络作出响应,以查看网络是否通畅,是否很快!也叫做回声数据,一般是用于确定连接正常的!

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

接下来做:icmp 穿越pix实验

PIX

 

 

PIX(config)# access-list k1 permit icmp any any 内部流量过滤,允许内部任何流量(此刻ICMP包可出但不可回,后面配置好路由就能回了)

PIX(config)# access-group k1 in interface outside 在outside接口上放行k1指定的流量

 

PIX(config)# nat (inside) 1 0 0 

PIX(config)# global (outside) 1 interface  使用outside接口IP实现端口地址转换

INFO: outside interface address added to PAT pool

 

PIX(config)# route inside 10.0.2.0 255.255.255.0 10.0.1.2 /实现到内部网络的路由,下一跳10.0.1.2,否则pix不知如何返回数据包

说明:由inside发出的数据包,标签nat1,到外部时源地址会被outside接口地址转换。由内向外的ping包,源地址也会被替换,但ping包出去了,回来时却被outside接口阻挡。

用GNS3做PIX防火墙ICMP实验

可以看到从内到外能ping同了!当然也能ping通PIX接口了!
 
如果这样配置

PIX(config)# global (outside) 1 220.171.1.3-220.171.1.3 255.255.255.0 

PIX(config)# nat (inside) 1 10.1.1.0 255.255.255.0

就只允许内部PC的10.1.1.0/24网络流量使用地址池或PAT

 

 

 

 

 

 

 

 

 

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI