最近我設(shè)置防火墻vpn和服務(wù)器，DMZ區(qū)服務(wù)器發(fā)布的問(wèn)題,從互聯(lián)網(wǎng)訪問(wèn)inside或dmz的服務(wù)器都很正常，從inside可以上互聯(lián)網(wǎng)，但就是不能通過(guò)互聯(lián)網(wǎng)域名訪問(wèn)inside和dmz的服務(wù)器，很是苦惱，用google搜索資料，逛到這個(gè)論壇來(lái)了，這里還不錯(cuò)，有很多新手和大蝦。在我用google搜索的過(guò)程中，不停的遇到很多朋友和我一樣的問(wèn)題，但始終沒(méi)有看到一個(gè)妥善解決的辦法。有的朋友提到用內(nèi)部dns作轉(zhuǎn)向，這代價(jià)未免太大了，就算是本身有DNS，也不是很方便。個(gè)別朋友提到alias和alias的資料，但都沒(méi)有詳細(xì)的解說(shuō)，我到cisco官方網(wǎng)站查到此用法，終于圓滿解決了此問(wèn)題，特將其翻譯并加些注意事項(xiàng)作些補(bǔ)充，供大家參考。


介紹

本文檔闡述lias在Cisco PIX防火墻中的用法.

Alias的兩個(gè)功能:
利用DNS Doctoring修正外部DNS服務(wù)器回復(fù)
o 利用DNS Doctoring,PIX 將"改變" 外部DNS響應(yīng)的地址到另一個(gè)IP，這個(gè)地址不同于DNS服務(wù)器上真實(shí)提供的域名-IP記錄。
o 此功能實(shí)現(xiàn)從內(nèi)部客戶端通過(guò)內(nèi)部IP地址連接到內(nèi)部服務(wù)器上。
轉(zhuǎn)換目標(biāo)IP地址的dnat（Destination NAT）到另一個(gè)IP。
o 用dnat改變應(yīng)用程序的標(biāo)地址.
o 此功能實(shí)現(xiàn)從內(nèi)部客戶端調(diào)用外部地址訪問(wèn)周邊網(wǎng)絡(luò)（例如DMZ區(qū)），不修改DNS回復(fù)。

例如，一臺(tái)機(jī)器發(fā)送數(shù)據(jù)到99.99.99.99,可使用alias命令把數(shù)據(jù)重定向到另一個(gè)地址10.10.10.10.可使用此命令避免你網(wǎng)絡(luò)里的IP與互聯(lián)網(wǎng)或另一個(gè)企業(yè)內(nèi)部網(wǎng)的IP沖突。請(qǐng)參考pix官方文檔：http://www./univercd/cc ... iaabu/pix/index.htm

硬件和軟件版本
· 此文適用于Cisco Secure PIX Firewall Software Releases 5.0.x或更高版本

用DNS Doctoring轉(zhuǎn)換內(nèi)部地址
例1：web服務(wù)器地址10.10.10.10，對(duì)應(yīng)的外部IP為99.99.99.99.
注意: DNS在防火墻外.在dos提示窗輸入nslookup驗(yàn)證一下DNS服務(wù)器是如何解析你的web服務(wù)器的外部IP.客戶端PC應(yīng)該返回的是內(nèi)部地址10.10.10.10,因?yàn)镈NS請(qǐng)求經(jīng)過(guò)PIX已經(jīng)被它改變了。另外,要讓DNS fixup正常工作, 需禁止proxy-arp功能。 如果你為DNS fixup使用alias命令，用列命令禁止proxy-arp
sysopt noproxyarp internal_interface
(注：但是我的PIX525沒(méi)用此命令仍然設(shè)置成功。)
網(wǎng)絡(luò)圖如下：


如果你想用10.10.10.25這臺(tái)機(jī)器通過(guò)www.訪問(wèn)你的web服務(wù)器,我們只需要實(shí)現(xiàn)以下alias命令:
alias (inside) 10.10.10.10 99.99.99.99 255.255.255.255
!--- 設(shè)置inside端口的DNS Doctoring.，一旦監(jiān)測(cè)到發(fā)往inside端口的DNS
!---回復(fù)里IP內(nèi)容為99.99.99.99，則用10.10.10.10替換掉，再發(fā)到客戶端PC

接下來(lái)，必須為web服務(wù)器做靜態(tài)地址轉(zhuǎn)換,為所有人提供web服務(wù)器的80端口訪問(wèn)權(quán)(http):
static(inside,outside) 99.99.99.99 10.10.10.10 netmask 255.255.255.255
!--- 此命令建立web服務(wù)器真實(shí)地址10.10.10.10和外部地址99.99.99.99的轉(zhuǎn)換

用access list命令賦予訪問(wèn)權(quán)
access-list 101 permit tcp any host 99.99.99.99 eq www
access-group 101 in interface outside
!--- 允許來(lái)自outside的任何用戶訪問(wèn)web服務(wù)器的80端口

如果你喜歡用老版本的語(yǔ)法，可以用conduit命令代替access-list和access-group
conduit permit tcp host 99.99.99.99 eq www any
!--- 允許來(lái)自outside的任何用戶訪問(wèn)web服務(wù)器的80端口

用目標(biāo)NAT(dnat)轉(zhuǎn)換DMZ地址

如果web服務(wù)器在PIX的DMZ區(qū),必須用alias作Destination NAT (dnat).

例2,web服務(wù)器在DMZ的地址為192.168.100.10, 外部地址99.99.99.99.我們要用dnat轉(zhuǎn)換99.99.99.99為web服務(wù)器的真實(shí)地址192.168.100.10;從inside客戶端發(fā)出的DNS請(qǐng)求和回復(fù)不會(huì)改變. 從inside的PC上看來(lái)就象訪問(wèn)外部地址99.99.99.99一樣,所以DNS回復(fù)并未被PIX修改.
網(wǎng)絡(luò)圖如下：


我們想從10.10.10.0 /24網(wǎng)絡(luò)通過(guò)外部域名www.訪問(wèn)DMZ里的web服務(wù)器，并不想讓PIX修改我們的DNS回復(fù)。讓PIX作dnat把外部IP地址轉(zhuǎn)為DMZ里web服務(wù)器真實(shí)地址192.168.100.10。

注意：當(dāng)然了，如果從inside訪問(wèn)dmz里的192.168.100.10都不能夠，光作這個(gè)也是不能訪問(wèn)的，前提是inside用戶能夠外訪，也能訪問(wèn)到DMZ內(nèi)部地址：
global (outside) 1 interface
global (dmz) 1 interface
nat (inside) 1 0 0
你不想利用interface占的地址，也可以另指定你相應(yīng)端口網(wǎng)絡(luò)里的地址
global (outside) 1 99.99.99.3
global (dmz) 1 192.168.100.2
nat (inside) 1 0 0

現(xiàn)在，用alias命令作dnat:
alias(inside) 99.99.99.99 192.168.100.10 255.255.255.255
!--- 此句設(shè)置dnat.DNS回復(fù)不會(huì)被PIX修改，因?yàn)橥獠康刂?9.99.99.99不匹配第二個(gè)地址(192.168.100.10)，由于發(fā)往客戶端的DNS回復(fù)里有與目標(biāo)地址99.99.99.99匹配，請(qǐng)求會(huì)”dnat-ed”.
注意: 此例中IP地址與上面DNS Doctoring的例子中順序相反.

接下來(lái)做web服務(wù)器的靜態(tài)轉(zhuǎn)換，允許所有人訪問(wèn)其80端口(http):
static(dmz,outside) 99.99.99.99 192.168.100.10 netmask 255.255.255.255
!--- 建立dmz區(qū)服務(wù)器地址192.168.100.10與外部地址99.99.99.99間靜態(tài)轉(zhuǎn)換

賦予訪問(wèn)權(quán)，access list命令如下:
access-list 101 permit tcp any host 99.99.99.99 eq www
access-group 101 in interface outside
!--- 允許所有來(lái)自outside用戶訪問(wèn)web服務(wù)器80端口.

同樣，也可以使用老版本的conduit命令：
conduit permit tcp host 99.99.99.99 eq www any
!--- 允許所有來(lái)自outside用戶訪問(wèn)web服務(wù)器80端口.


配置中的說(shuō)明
· alias命令里的interface應(yīng)該是發(fā)出請(qǐng)求的客戶端所在那個(gè)端口.
· 如果DMZ里也有客戶端PC，需專(zhuān)門(mén)為dmz設(shè)置的alias命令 (也就是DNS doctoring)，
例如，你想讓DMZ的其他客戶端用外部域名訪問(wèn)DMZ的web服務(wù)器，其實(shí)做法已跟例1沒(méi)什么區(qū)別，為DMZ增加一條alias，做一個(gè)DNS Doctoring修改它DNS回復(fù)就行了：
alias (dmz) 192.168.100.10 99.99.99.99 255.255.255.255
· 如果PIX有更多的端口，可以為不同的端口作多條alias命令