pix 内部接口可以实现telnet 连接,默认不能外部接口telnet 连接PIX。如果想从外部网络telnet 到pix的外部接口,方法如下:
PIX(config)#nameif e0 out security5 /必须把outside名改为其他名,安全级别在5以上
实验五:保存基本配置到tftp服务器
一.实验目的:
1. 掌握通过tftp服务器保存基本配置。
二.实验要点:
1.通过使用GNS3,练习常用PIX防火墙的高级配置命令的用法。
2.利用tftp服务器通过PIX防火期将配置文件保存到PC机上。
三.实验设备:
1. GNS3工具,路由器Cisco 3600一台,Cisco PIX804 一台 2. Real PC 一台 ,3CDaemon软件工具
四、实验环境
3CDaemon 是一款集成TFTP server、FTPserver、Syslog server、FTP client为一体的工具软件。安装后运行在内部网络的本机上,管理目录为c:\\123
五.实验步骤:
PIX基本配置: pixfirewall> en Password:
pixfirewall# conf t
pixfirewall(config)# hostname PIX PIX(config)# interface e0
PIX(config-if)# nameif outside
INFO: Security level for \PIX(config-if)# ip address 220.171.1.2 255.255.255.0 PIX(config-if)#no shutdown PIX(config-if)# exit
PIX(config)# interface e1 PIX(config-if)# nameif inside
INFO: Security level for \PIX(config-if)# ip address 10.0.1.1 255.255.255.0 PIX(config-if)#no shutdown PIX(config-if)# exit
PIX(config)# interface e2 PIX(config-if)# nameif dmz
INFO: Security level for \PIX(config-if)# security-level 50
PIX(config-if)# ip address 172.16.1.1 255.255.255.0 PIX(config-if)#no shutdown PIX(config-if)# exit
PIX(config)# names /命名
PIX(config)# name 220.171.1.1 wan PIX(config)# name 10.0.1.2 lan PIX(config)# name 172.16.1.2 dmz
PIX(config)# route inside 10.0.0.0 255.0.0.0 10.0.1.2 PIX(config)# route outside 0 0 220.171.1.1 PIX(config)# logging on /启用日志功能
PIX(config)# logging host inside 10.0.2.2 /指定syslog服务器地址10.0.2.2 PIX(config)# logging trap debugging /指定陷阱为debugging
PIX(config)# tftp-server inside 10.0.2.2 pix /指定内部tftp服务器10.0.2.2地址,存放
目录为pix
PIX(config)# write net :pix1 /保存内存配置到tftp服务器的pix目录下,文件名为pix1 Building configuration...
Cryptochecksum: 1c69ee49 85b9a073 da2714de 2a0226b9 ! [OK]
实验六:ICMP
一.实验目的
1. 掌握理解ICMP原理 2. 完成ICMP的流量控制。
二.实验要点
1.掌握PIX防火墙针对控制对pix接口的icmp流量。 2.icmp 穿越pix实验,由外到内和又内到外。
三.实验设备
1. GNS3工具,路由器Cisco 3600二台 2. Cisco PIX804 一台,Real PC 二台
四、实验环境
默认情况下pix的接口默认可以被网络ping通的。但对于穿越pix的icmp的流量可以通过nat加ACL来控制,对于接口的icmp流量通过icmp命令来控制。
五. 实验步骤
1;本次实验不是针对穿越pix的icmp 的流量,而是针对控制对pix接口的icmp流量。
PIX(config)# icmp deny 0 0 outside 或则icmp deny any outsie
PIX(config)# icmp deny 0 0 inside /外部主机、内部主机都不能ping通pix,pix也
ping它们
寿命 或:
PIX(config)# icmp deny 0 0 echo inside /阻止内部主机发出的echo包 PIX(config)# icmp deny 0 0 echo outside /阻止外部主机发出的echo包
PIX(config)#clear icmpdeny 0 0 inside /允许内部主机,恢复可以ping通pix端口 PIX(config)#clear icmp deny 0 0 outside /允许内部主机,恢复可以ping通pix端口 PIX(config)#
如果PIX (config)# static (inside,outside) interface 10.0.2.2,则外部网络是不能ping通pix的
外部接口的。
2:icmp 穿越pix实验,由外到内
PIX(config)#static (inside,outside) 220.171.1.3 10.0.2.2
PIX (config)# access-list kkk permit icmp any host 220.171.1.3 PIX (config)# access-group kkk in interface outside
在虚拟pc中ping 220.171.1.3通,实际上ping通的是10.0.2.2
3:icmp 穿越pix 实验,由内到外 PIX (config)# nat (inside) 1 0 0
PIX (config)# global (outside) 1 interface outside interface address added to PAT pool PIX (config)# access-list k1 permit icmp any any PIX (config)# access-group k1 in interface outside