Cisco-Pix

執行 8.0(4)28 的舊 PIX 515e:無法通過外部介面上的 DHCP 訪問 Internet

  • March 22, 2014

好吧..我承認。我可能缺少一些簡單的東西。一點幫助?

我有一個較舊的 PIX 515e,我正在嘗試執行。外部介面連接到電纜調製解調器並配置為 DHCP。該介面從 ISP 分配了一個 IP,因此這部分似乎可以正常工作。我的理解是使用該命令應該自動為ISP網關設置靜態路由。如果我這似乎是這樣。從控制台,我還可以 ping ISP 網關和我嘗試的任何其他站點 (yahoo.com)。

內部介面設置為靜態地址 10.0.1.10,這將返回來自內部客戶端的 ping。內部網路上的 DHCP 由 2012R2 機器處理,此服務以及 DNS 也可以正常工作(除了在 PIX 測試期間的 DNS 轉發)

但是,客戶端無法訪問 Internet。沒有 ping 回復等。我相信這要麼是路由問題,要麼是 NAT/PAT 問題。我在思科配置的這個領​​域落後於 8 球,可以使用一些幫助。下面發布的是我目前正在執行的配置。我嘗試了一些在網上找到的配置指南,但似乎沒有任何效果。任何人都可以幫我解決這個問題嗎?

謝謝!邁克爾

: Saved
:

PIX Version 8.0(4)28 
!
hostname GripPix

domain-name Grip.com

enable password ... encrypted

passwd ... encrypted

names

!

interface Ethernet0

nameif outside

security-level 0

ip address dhcp setroute 

!

interface Ethernet1

nameif inside

security-level 100

ip address 10.0.1.10 255.255.0.0 

!

interface Ethernet2

shutdown

no nameif

no security-level

no ip address

!

interface Ethernet3

shutdown

no nameif

no security-level

no ip address

!

interface Ethernet4

shutdown

no nameif

no security-level

no ip address

!

interface Ethernet5

shutdown

no nameif

no security-level

no ip address

!

ftp mode passive

dns server-group DefaultDNS

domain-name Grip.com

same-security-traffic permit inter-interface

same-security-traffic permit intra-interface

access-list outside_in extended permit icmp any any echo-reply 

access-list outside_in extended deny ip any any log 

pager lines 24

logging enable

logging asdm informational

mtu outside 1500

mtu inside 1500

no failover

icmp unreachable rate-limit 1 burst-size 1

asdm image flash:/asdm-613.bin

no asdm history enable

arp timeout 14400

global (outside) 1 10.0.0.0 netmask 255.255.0.0

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

dynamic-access-policy-record DfltAccessPolicy

aaa authentication serial console LOCAL 

aaa authentication telnet console LOCAL 

aaa authentication ssh console LOCAL 

http server enable

http 10.0.0.0 255.255.0.0 inside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

telnet 10.0.0.0 255.255.0.0 inside

telnet timeout 5

ssh timeout 5

console timeout 0

threat-detection basic-threat

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

!

class-map inspection-default

match default-inspection-traffic

class-map inspection_default

match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

parameters

 message-length maximum 512

policy-map global_policy

class inspection_default

 inspect dns preset_dns_map 

 inspect ftp 

 inspect h323 h225 

 inspect h323 ras 

 inspect rsh 

 inspect rtsp 

 inspect esmtp 

 inspect sqlnet 

 inspect skinny  

 inspect sunrpc 

 inspect xdmcp 

 inspect sip  

 inspect netbios 

 inspect tftp 

 inspect http 

 inspect icmp 

!

service-policy global_policy global

prompt hostname context 

Cryptochecksum:9cceeff3166fd745e3569853ea5c178c

: end

asdm image flash:/asdm-613.bin

no asdm history enable

事實證明我做了一些愚蠢的事情。客戶端實際上可以訪問網際網路,但我不知道,因為我實際上並沒有嘗試瀏覽等。我只是打開一個 cmd 視窗並執行“ping www.yahoo.com -t”

我的假設是,一旦我收到 ping 回复,網關就會工作。我忽略的是允許 ICMP 流量通過 NAT 防火牆。因此,即使我的客戶實際上可以瀏覽等,我也沒有收到 ping 回复,所以我認為我沒有通過。一旦我啟用了 ICMP 流量,它就很好了。我對此感到有點害羞,但我猜是生活和學習。

引用自:https://serverfault.com/questions/563084