服务交换 : Cisco PIX 500 系列安全设备

了解 Cisco Secure PIX 防火墙的 alias 命令

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


注意:此命令功能已替换为 NAT,包括带有 dns 关键字的 nat 和 static 命令。要使用 NAT 配置 DNS 修正,请参阅 PIX/ASA:使用 static 命令和两个 NAT 接口配置示例执行 DNS 修正PIX/ASA:使用 static 命令和三个 NAT 接口配置示例执行 DNS 修正。有关 NAT 的其他信息,请参阅 nat在 PIX 上使用 nat、global、static、conduit 和 access-list 命令及端口重定向


目录


简介

本文档说明如何在 Cisco Secure PIX 防火墙上使用 alias 命令。

alias 命令有两个功能:

  • 使用 alias 命令可以对来自外部 DNS 服务器的 DNS 应答执行 DNS 修正。

    • 在 DNS 修正中,PIX 将来自 DNS 服务器的 DNS 响应更改为与 DNS 服务器实际应答指定名称不同的 IP 地址。

    • 当您希望来自内部客户端的实际应用程序呼叫通过其内部 IP 地址连接到内部服务器时,可使用此进程。

  • 使用此命令可以执行从一个目标 IP 地址到另一个 IP 地址的目标 NAT (dnat)。

    • 在 dnat 中,PIX 将应用程序呼叫的目标 IP 从一个 IP 地址更改为另一个 IP 地址。

    • 当您希望来自内部客户端的实际应用程序呼叫通过其外部 IP 地址连接到周边 (dmz) 网络中的服务器时,可使用此进程。这不会“修正”DNS 应答。

    例如,如果主机发送一个数据包到 99.99.99.99,则可以使用 alias 命令将数据流重定向到另一个地址(例如 10.10.10.10)。如果您的网络 IP 地址与 Internet 或其他 Intranet 上的 IP 地址相同,还可以使用此命令防止冲突。有关详细信息,请参阅 PIX 文档

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于 Cisco Secure PIX 防火墙软件版本 5.0.x 及更高版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

用 DNS 修正转换内部地址

在第一个示例中,Web 服务器的 IP 地址为 10.10.10.10。此 Web 服务器的全局 IP 地址为 99.99.99.99。

注意: DNS 服务器是外部服务器。验证 DNS 服务器是否通过发出 nslookup 命令将您的域名解析到 Web 服务器的全局 IP 地址。客户端 PC 上 nslookup 的结果是服务器的内部 IP 地址 (10.10.10.10)。这是因为 DNS 应答在通过 PIX 时得到修正。

另请注意,为使 DNS 修正能够正常工作,必须禁用 proxy-arp。如果使用 alias 命令进行 DNS 修正,请在执行 alias 命令后使用 sysopt noproxyarp internal_interface 命令禁用 proxy-arp。

注意: 在使用端口重定向时,不能使用 DNS 修正。

网络图

alias_01.gif

如果希望 IP 地址为 10.10.10.25 的计算机使用其域名 (www.mydomain.com) 访问此 Web 服务器,请实施 alias 命令,如以下输出所示:

alias (inside) 10.10.10.10 99.99.99.99 255.255.255.255

!--- This command sets up DNS Doctoring. It is initiated from the clients in
!--- the "inside" network. It watches for DNS replies that contain
!--- 99.99.99.99. Then it replaces the 99.99.99.99 address with the 10.10.10.10
!--- address in the "DNS reply" sent to the client PC.

接着,必须为该 Web 服务器创建静态转换。还需要为 Internet 上的所有用户授予在端口 80 (http) 上对 Web 服务器的访问权限:

static(inside,outside) 99.99.99.99 10.10.10.10 netmask 255.255.255.255

!--- This command creates a static translation between the web server 
!--- real address of 10.10.10.10 to the global IP address 99.99.99.99.

要授予访问权限,请使用 access list 命令,如以下输出所示。

access-list 101 permit tcp any host 99.99.99.99 eq www
access-group 101 in interface outside

!--- These commands permit any outside user to access the web server on port 80. 

如果更倾向于使用旧版的语法,则可以使用 conduit 命令,如以下输出所示。

conduit permit tcp host 99.99.99.99 eq www any

!--- This command permits any outside user to access the web server on port 80.

用目标 NAT 转换 DMZ 地址

如果 Web 服务器在 PIX 的 DMZ 网络中,则必须使用 alias 命令执行目标 NAT (dnat)。在本示例中,DMZ 上 Web 服务器的 IP 地址为 192.168.100.10,并且此 Web 服务器的外部 IP 地址为 99.99.99.99。请使用 dnat 将实际呼叫服务器时的 IP 地址 99.99.99.99 转换为 192.168.100.10。DNS 呼叫和应答保持不变。在本示例中,内部客户端 PC 所发现的 DNS 响应是外部 99.99.99.99 IP 地址,因为其未经过 DNS 修正。

网络图

alias_02.gif

在本示例中,目的是让 10.10.10.0 /24 网络中的计算机通过其外部域名 (www.mydomain.com) 访问 DMZ 中的此 Web 服务器。您不希望 PIX 对 DNS 应答执行 DNS 修正。相反,您希望 PIX 对 Web 服务器的外部(全局)IP 地址执行 dnat,以更改为其“实际”DMZ 地址 (192.168.100.10)。

使用 alias 命令执行 dnat:

alias(inside) 99.99.99.99 192.168.100.10 255.255.255.255

!--- This sets up the Destination NAT. In this example the DNS reply is not
!--- doctored by the PIX because the external address (99.99.99.99) does not
!--- match the foreign IP address in the alias command (the second IP).
!--- But the call is "dnat-ed" because the destination address
!--- in the call matches the dnat IP address in the alias command (the first IP).

注意: alias 命令中的 IP 地址与 DNS 修正示例中的 IP 地址顺序相反。

接着,必须为该 Web 服务器创建静态转换。还需要为 Internet 上的所有用户授予在端口 80 (http) 上对 Web 服务器的访问权限:

static(dmz,outside) 99.99.99.99 192.168.100.10 netmask 255.255.255.255

!--- This command creates a static translation between the web server's
!--- real address 192.168.100.10 to the global IP address 99.99.99.99.

要授予访问权限,请使用 access list 命令,如以下输出所示。

access-list 101 permit tcp any host 99.99.99.99 eq www
access-group 101 in interface outside

!--- These commands permit any outside user to access the web server on port 80.

如果更倾向于使用旧版的语法,则可以使用 conduit 命令,如以下输出所示。

conduit permit tcp host 99.99.99.99 eq www any

!--- This command permits any outside user to access the web server on port 80.

其他配置说明

  • alias 命令中的接口必须是客户端发出呼叫的“接口”。

  • 如果 DMZ 上还有其他客户端,则可以为 DMZ 接口添加其他 alias(此为 DNS 修正)。

    例如,假设在上一个示例中,您希望 DMZ 上的其他客户端使用外部 DNS,但是通过其 DMZ 地址呼叫 Web 服务器。为了实现此操作,应再创建另一个 alias 命令并绑定到 DMZ 接口,以使 DNS 修正 DNS 应答数据包。

    alias (dmz) 192.168.100.10 99.99.99.99 255.255.255.255
    
    !--- This command sets up DNS Doctoring. It is initiated from the clients in
    !--- the "dmz" network. It watches for DNS replies that contain
    !--- 99.99.99.99, then replaces the 99.99.99.99 address with the 192.168.100.10 
    !--- address in the "DNS reply" sent to the client PC.
    
    
  • 可以将多个 alias 命令绑定到同一 PIX 上的不同接口。


相关信息


Document ID: 6353