Cisco-Pix
執行 8.0(4)28 的舊 PIX 515e:無法通過外部介面上的 DHCP 訪問 Internet
好吧..我承認。我可能缺少一些簡單的東西。一點幫助?
我有一個較舊的 PIX 515e,我正在嘗試執行。外部介面連接到電纜調製解調器並配置為 DHCP。該介面從 ISP 分配了一個 IP,因此這部分似乎可以正常工作。我的理解是使用該命令應該自動為ISP網關設置靜態路由。如果我這似乎是這樣。從控制台,我還可以 ping ISP 網關和我嘗試的任何其他站點 (yahoo.com)。
內部介面設置為靜態地址 10.0.1.10,這將返回來自內部客戶端的 ping。內部網路上的 DHCP 由 2012R2 機器處理,此服務以及 DNS 也可以正常工作(除了在 PIX 測試期間的 DNS 轉發)
但是,客戶端無法訪問 Internet。沒有 ping 回復等。我相信這要麼是路由問題,要麼是 NAT/PAT 問題。我在思科配置的這個領域落後於 8 球,可以使用一些幫助。下面發布的是我目前正在執行的配置。我嘗試了一些在網上找到的配置指南,但似乎沒有任何效果。任何人都可以幫我解決這個問題嗎?
謝謝!邁克爾
: Saved : PIX Version 8.0(4)28 ! hostname GripPix domain-name Grip.com enable password ... encrypted passwd ... encrypted names ! interface Ethernet0 nameif outside security-level 0 ip address dhcp setroute ! interface Ethernet1 nameif inside security-level 100 ip address 10.0.1.10 255.255.0.0 ! interface Ethernet2 shutdown no nameif no security-level no ip address ! interface Ethernet3 shutdown no nameif no security-level no ip address ! interface Ethernet4 shutdown no nameif no security-level no ip address ! interface Ethernet5 shutdown no nameif no security-level no ip address ! ftp mode passive dns server-group DefaultDNS domain-name Grip.com same-security-traffic permit inter-interface same-security-traffic permit intra-interface access-list outside_in extended permit icmp any any echo-reply access-list outside_in extended deny ip any any log pager lines 24 logging enable logging asdm informational mtu outside 1500 mtu inside 1500 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image flash:/asdm-613.bin no asdm history enable arp timeout 14400 global (outside) 1 10.0.0.0 netmask 255.255.0.0 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy aaa authentication serial console LOCAL aaa authentication telnet console LOCAL aaa authentication ssh console LOCAL http server enable http 10.0.0.0 255.255.0.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet 10.0.0.0 255.255.0.0 inside telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ! class-map inspection-default match default-inspection-traffic class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect http inspect icmp ! service-policy global_policy global prompt hostname context Cryptochecksum:9cceeff3166fd745e3569853ea5c178c : end asdm image flash:/asdm-613.bin no asdm history enable
事實證明我做了一些愚蠢的事情。客戶端實際上可以訪問網際網路,但我不知道,因為我實際上並沒有嘗試瀏覽等。我只是打開一個 cmd 視窗並執行“ping www.yahoo.com -t”
我的假設是,一旦我收到 ping 回复,網關就會工作。我忽略的是允許 ICMP 流量通過 NAT 防火牆。因此,即使我的客戶實際上可以瀏覽等,我也沒有收到 ping 回复,所以我認為我沒有通過。一旦我啟用了 ICMP 流量,它就很好了。我對此感到有點害羞,但我猜是生活和學習。