(原創)關於在 PIX 內網(INSIDE 和 DMZ)不能訪問 PIX 上的外網IP(OUTSIDE)的處理方法
- 詳細內容
- 分類: Cisco技術
- 發佈: 2007-06-26, 週二 21:20
- 作者 Super User
- 點擊數: 15986
方法一:
在NAT 的static上加DNS參數
static (inside,outside) 218.189.X.X 10.2.91.X dns netmask 255.255.255.255 0 0
方法二:
利用alias命令
Alias的兩個功能:
利用DNS Doctoring修正外部DNS伺服器回復
o 利用DNS Doctoring,PIX 將"改變" 外部DNS回應的位址到另一個IP,這個位址不同於DNS伺服器上真實提供的功能變數名稱-IP記錄。
o 此功能實現從內部用戶端通過內部IP位址連接到內部伺服器上。
轉換目標IP位址的dnat(Destination NAT)到另一個IP。
o 用dnat改變應用程式的標地址.
o 此功能實現從內部用戶端調用外部地址訪問周邊網路(例如DMZ區),不修改DNS回復。
用DNS Doctoring轉換內部地址
alias (dmz) 10.2.91.X 218.189.182.X 255.255.255.255
用目標NAT(dnat)轉換DMZ位址
alias (inside) 218.189.182.X 10.2.91.X 255.255.255.255
方法三:
在內網的起DNS SERVER.將內網的服務(例如WWW EMAIL)指到內網的IP上.內網所有電腦只能用此DNS.
注意:
用方法一最好,方法二其次.方法三最麻煩需自己起DNS SERVER,而且內網所有電腦只能用此DNS.
另.用方法一和方法二虽方便,但其後出現一些問題.
問題是:在內網(DMZ)有一台WEB server(WINDOWS 2000 IIS)和兩台EMAIL SERVER(WINDOWS 2000 EXCHANGE 和 CENTOS 4.4 QMAIL).當WEB SERVER 和 EXCHANGE SERVER SEND EMAIL 到 QMAIL SERVER 時. QMAIL SERVER 收不到EMAIL.但在WEB SERVER 和 EXCHANGE SERVER 上用NSLOOKUP 查 QMAIL SERVER 上DOMAIN MX 時,MX 是正常指到QMAIL SERVER上的.死因不明.只能用方法三解決.