急求解决：GNS3模拟pix防火墙配置简单网络配置问题！求指教和交流

peterchang

题目要求：
1.内网可以访问和ping通外网；2.内网可以telnet，PING并且访问DMZ的WWW服务；
3.外网可以访问DMZ的WWW服务。
拓扑图：

我经过配置之后还是无法实现，即使内网ping R1也ping不通。求指教！！！！！下面是我的配置：
路由器和pc都按照正常设置没有问题
pix的配置：
conf t
int e0
ip add 192.168.1.2 255.255.255.0   //PIX访问internet的出口，也是internet访问DMZ的入口
no shut
nameif outside  //outside 的security 默认为0
2、配置e1口的ip并命名为inside
conf t
int e1
ip add 192.168.3.1 255.255.255.0   //PIX访问internet
no shut
nameif inside //outside 的security 默认为100
3、配置e2口的ip并命名为dmz
conf t
int e2
ip add 192.168.2.1 255.255.255.0   //PIX访问internet
no shut
nameif dmz
security 50  //设置安全级别为50，否则默认为0
show route  //可以看到直连的三条路由
4、配置PIX通往外网的缺省路由
route outside 0 0 192.168.1.1  //所有数据通过outside口发往下一跳192.168.1.1（路由器IP）
此时再用show route 可以看到多了一条默认路由
5、配置NAT，用于访问外网
nat (inside) 1 0 0 //将内网的所有地址NAT
6、定义全局地址池
global (outside) 1 interface  //定义编号为1的全局地址池，地址池中只有一个地址，即接口outside 的地址
7、访问控制列表
access-list 100 permit icmp any any echo-reply
access-group 100 in interface outside



但是就是无法ping通，Inside和dmz都不能ping通，Inside也不能ping通Outside的pc。


急求答案，多谢！！！！！！

peterchang

pix硬件版本525
ios版本：8.04

sotwoyouare

目测访问控制列表隐语句deny掉了echo
加一条acc 100 per icmp any any echo

peterchang

sotwoyouare 发表于 2012-5-16 23:52

                               
登录/注册后可看大图

目测访问控制列表隐语句deny掉了echo
加一条acc 100 per icmp any any echo

我试试看，如果只加一条acl :acc 100 perm icmp any any，这一条是不是可以代替以上两条？

sotwoyouare

peterchang 发表于 2012-5-17 22:31

                               
登录/注册后可看大图

我试试看，如果只加一条acl :acc 100 perm icmp any any，这一条是不是可以代替以上两条？

差不多。。。ICMP有很多--！any any后面打个？看下就知道了。

peterchang

按照你说的做过，PIX ,R1,PC1之间可以互相ping通，但是pc2,3无法访问外网，是不是要在pix的e1,e2接口做ACL？另外，pc1可以ping内网，这个是不允许的，如何解决？多谢了

peterchang

sotwoyouare 发表于 2012-5-17 23:02

                               
登录/注册后可看大图

差不多。。。ICMP有很多--！any any后面打个？看下就知道了。

按照你说的做过，PIX ,R1,PC1之间可以互相ping通，但是pc2,3无法访问外网，是不是要在pix的e1,e2接口做ACL？另外，pc1可以ping内网，这个是不允许的，如何解决？多谢了

peterchang

sotwoyouare 发表于 2012-5-17 23:02

                               
登录/注册后可看大图

差不多。。。ICMP有很多--！any any后面打个？看下就知道了。

show xlate都没有任何路由信息，怎么办？

sotwoyouare

peterchang 发表于 2012-5-17 23:15

                               
登录/注册后可看大图

按照你说的做过，PIX ,R1,PC1之间可以互相ping通，但是pc2,3无法访问外网，是不是要在pix的e1,e2接口做 ...

如果你security是正确的 默认是inside 能ping outside反之不行。
但是你加入了ACL就设置允许当然就不行了。。你这样又绕回来，蛋疼。。

我们现在不讨论防火墙的security了。。
就ACL而言吧
permit icmp 192.168.0.0 0.0.255.255 any echo   
deny   icmp 192.168.0.0 0.0.255.255 any echo-reply（这条可以改为 any 192.168.0.0 0.0.255.255 echo）

sotwoyouare

peterchang 发表于 2012-5-18 00:00

                               
登录/注册后可看大图

show xlate都没有任何路由信息，怎么办？

你ACL和防火墙的知识基础都很不好。。。
看下资料吧。。

peterchang

sotwoyouare 发表于 2012-5-18 12:45

                               
登录/注册后可看大图

你ACL和防火墙的知识基础都很不好。。。
看下资料吧。。

那如何使Inside可以访问DMZ呢？这个该如何配置？多谢你的 回答

sotwoyouare

peterchang 发表于 2012-5-18 16:52

                               
登录/注册后可看大图

那如何使Inside可以访问DMZ呢？这个该如何配置？多谢你的 回答

有路由的话 默认有访问权限的。

CA-IOS

夏天的飘雪

楼主，我想问下：怎么用GNS3模拟的防火墙？求解答！！