鸿鹄论坛 › CCNP求助答疑 › 急求解决：GNS3模拟pix防火墙配置简单网络配置问题！求指教和交流

peterchang 发表于 2012-5-16 23:05:13

急求解决：GNS3模拟pix防火墙配置简单网络配置问题！求指教和交流

题目要求：
1.内网可以访问和ping通外网；2.内网可以telnet，PING并且访问DMZ的WWW服务；
3.外网可以访问DMZ的WWW服务。
拓扑图：

我经过配置之后还是无法实现，即使内网ping R1也ping不通。求指教！！！！！下面是我的配置：
路由器和pc都按照正常设置没有问题
pix的配置：
conf t
int e0
ip add 192.168.1.2 255.255.255.0   //PIX访问internet的出口，也是internet访问DMZ的入口
no shut
nameif outside//outside 的security 默认为0
2、配置e1口的ip并命名为inside
conf t
int e1
ip add 192.168.3.1 255.255.255.0   //PIX访问internet
no shut
nameif inside //outside 的security 默认为100
3、配置e2口的ip并命名为dmz
conf t
int e2
ip add 192.168.2.1 255.255.255.0   //PIX访问internet
no shut
nameif dmz
security 50//设置安全级别为50，否则默认为0
show route//可以看到直连的三条路由
4、配置PIX通往外网的缺省路由
route outside 0 0 192.168.1.1//所有数据通过outside口发往下一跳192.168.1.1（路由器IP）
此时再用show route 可以看到多了一条默认路由
5、配置NAT，用于访问外网
nat (inside) 1 0 0 //将内网的所有地址NAT
6、定义全局地址池
global (outside) 1 interface//定义编号为1的全局地址池，地址池中只有一个地址，即接口outside 的地址
7、访问控制列表
access-list 100 permit icmp any any echo-reply
access-group 100 in interface outside



但是就是无法ping通，Inside和dmz都不能ping通，Inside也不能ping通Outside的pc。


急求答案，多谢！！！！！！

peterchang 发表于 2012-5-16 23:06:36

pix硬件版本525
ios版本：8.04

sotwoyouare 发表于 2012-5-16 23:52:07

目测访问控制列表隐语句deny掉了echo
加一条acc 100 per icmp any any echo

peterchang 发表于 2012-5-17 22:31:28

sotwoyouare 发表于 2012-5-16 23:52 static/image/common/back.gif
目测访问控制列表隐语句deny掉了echo
加一条acc 100 per icmp any any echo

我试试看，如果只加一条acl :acc 100 perm icmp any any，这一条是不是可以代替以上两条？

sotwoyouare 发表于 2012-5-17 23:02:12

peterchang 发表于 2012-5-17 22:31 http://bbs.hh010.com/static/image/common/back.gif
我试试看，如果只加一条acl :acc 100 perm icmp any any，这一条是不是可以代替以上两条？

差不多。。。ICMP有很多--！any any后面打个？看下就知道了。

peterchang 发表于 2012-5-17 23:14:47

按照你说的做过，PIX ,R1,PC1之间可以互相ping通，但是pc2,3无法访问外网，是不是要在pix的e1,e2接口做ACL？另外，pc1可以ping内网，这个是不允许的，如何解决？多谢了{:6_290:}

peterchang 发表于 2012-5-17 23:15:16

sotwoyouare 发表于 2012-5-17 23:02 static/image/common/back.gif
差不多。。。ICMP有很多--！any any后面打个？看下就知道了。


按照你说的做过，PIX ,R1,PC1之间可以互相ping通，但是pc2,3无法访问外网，是不是要在pix的e1,e2接口做ACL？另外，pc1可以ping内网，这个是不允许的，如何解决？多谢了

peterchang 发表于 2012-5-18 00:00:24

sotwoyouare 发表于 2012-5-17 23:02 static/image/common/back.gif
差不多。。。ICMP有很多--！any any后面打个？看下就知道了。

show xlate都没有任何路由信息，怎么办？

sotwoyouare 发表于 2012-5-18 12:43:04

peterchang 发表于 2012-5-17 23:15 static/image/common/back.gif
按照你说的做过，PIX ,R1,PC1之间可以互相ping通，但是pc2,3无法访问外网，是不是要在pix的e1,e2接口做 ...

如果你security是正确的 默认是inside 能ping outside反之不行。
但是你加入了ACL就设置允许当然就不行了。。你这样又绕回来，蛋疼。。

我们现在不讨论防火墙的security了。。
就ACL而言吧
permit icmp 192.168.0.0 0.0.255.255 any echo   
deny   icmp 192.168.0.0 0.0.255.255 any echo-reply（这条可以改为 any 192.168.0.0 0.0.255.255 echo）

sotwoyouare 发表于 2012-5-18 12:45:21

peterchang 发表于 2012-5-18 00:00 static/image/common/back.gif
show xlate都没有任何路由信息，怎么办？

你ACL和防火墙的知识基础都很不好。。。
看下资料吧。。

peterchang 发表于 2012-5-18 16:52:34

sotwoyouare 发表于 2012-5-18 12:45 static/image/common/back.gif
你ACL和防火墙的知识基础都很不好。。。
看下资料吧。。

那如何使Inside可以访问DMZ呢？这个该如何配置？多谢你的 回答

sotwoyouare 发表于 2012-5-18 23:38:02

peterchang 发表于 2012-5-18 16:52 static/image/common/back.gif
那如何使Inside可以访问DMZ呢？这个该如何配置？多谢你的 回答

有路由的话 默认有访问权限的。

CA-IOS 发表于 2013-1-6 09:40:35

{:6_267:}

夏天的飘雪 发表于 2013-7-22 09:53:29

楼主，我想问下：怎么用GNS3模拟的防火墙？求解答！！

查看完整版本: 急求解决：GNS3模拟pix防火墙配置简单网络配置问题！求指教和交流