具有多個外部 /24 子網的 PIX 506E

我有兩個可訪問 Internet 的 /24 子網，比如說 11.22.33.0/24 和 44.55.66.0/24，我想使用 PIX 506E 後面的私有 10.0.0.0/24 子網將它們傳遞給伺服器

例如，對 11.22.33.99 和 44.55.66.99 的請求要麼都發送到 10.0.0.99，要麼一個發送到 10.0.0.99，另一個發送到 10.0.0.98（不需要在內部使用所有 254 個 IP，可以重新配置為 10.0。 0.0/23 未來如果發生變化）。

11.22.33.99/24 子網已經配置好並且可以工作，但是我無法讓 PIX 對 44.55.66.99/24 地址做任何事情。

配置如下。

介面

• 名稱/ip/vlan/硬體
• 在 10.0.0.4/24 本機 eth1 內
• 11.22.33.4/24 本機 eth0 外
• 外部2 44.55.66.4/24 vlan1 eth0

翻譯規則

• 內部 10.0.0.99/32 > 靜態 11.22.33.99/32
• 內部 10.0.0.99/32 > 靜態 44.55.66.99/32

靜態路線

• 0.0.0.0/0 11.22.33.1 外

訪問規則允許 44.55.66.0/24 上的所有 ip 和 icmp 流量（稍後將鎖定這些流量）

關於我應該在哪裡尋找的任何建議，或者我需要提供的更多資訊？謝謝。

1. 如果您嘗試將 11.xxx 和 44.xxx IP 都指向同一個內部 IP，PIX 將無法確定您想要做什麼。它必須選擇一個 IP 或另一個進行響應。如果您正在做原始static映射而不是埠級別的東西，那麼請保持一外一內。
2. 如果您使用的是 VLAN1，那麼您的交換機最好能夠將其剝離，並將數據包送到他們需要去的地方。如果那個地方是第二個路由器，那麼它可能永遠不會工作。您只能有一個預設路由。您永遠無法從網路上獲得隨機流量來返回它進入的界面，它總是退出預設值。你必須升級到 BGP 之類的東西才能擊敗它。
3. 或者，11.22.33.1 的路由器是否也路由 44.55.66/24？如果是這樣，您可能不需要 VLAN1 介面和 outside2 介面。PIX 只會將數據包路由到那裡。只要該路由器知道將該子網發送到 PIX，這些static線路就足以讓 PIX 應答和通過。

如果 3. 是這種情況，您應該能夠刪除 outside2 介面和重疊的靜態，它應該可以正常工作。

引用自：https://serverfault.com/questions/289428