gns3 pix防火墙配置的问题

gns3 pix防火墙配置的问题

故障现象：无法从pc1 ping 通pc3。但通过 show xlate 命令已经可以看到NAT转换 PIX可以 ping 通 pc3

拓扑图如下： 配置如下：

一、配置三台PC的IP与网关

内网：192.168.3.2 网关：192.168.3.1 dmz:192.168.2.2 网关：192.168.2.1 外网：202.1.1.2 网关：202.1.1.1

二、配置路由器 int f0/0

ip add 192.168.1.1 255.255.255.0 no shut int f1/0

ip add 202.1.1.1 255.255.255.0 no shut

三、配置防火墙

1、配置e0口的ip并命名为outside conf t int e0

ip add 192.168.1.2 255.255.255.0 //PIX访问internet的出口，也是internet访问DMZ的入口 no shut

nameif outside //outside 的security 默认为0 2、配置e1口的ip并命名为inside conf t int e1

ip add 192.168.3.1 255.255.255.0 //PIX访问internet no shut

nameif inside //outside 的security 默认为100 3、配置e2口的ip并命名为dmz conf t int e2

ip add 192.168.2.1 255.255.255.0 //PIX访问internet no shut nameif dmz

security 50 //设置安全级别为50，否则默认为0 show route //可以看到直连的三条路由 4、配置PIX通往外网的缺省路由

route outside 0 0 192.168.1.1 //所有数据通过outside口发往下一跳192.168.1.1（路由器IP） 此时再用show route 可以看到多了一条默认路由 5、配置NAT，用于访问外网

nat (inside) 1 0 0 //将内网的所有地址NAT

6、定义全局地址池

global (outside) 1 interface //定义编号为1的全局地址池，地址池中只有一个地址，即接口outside 的地址

测试一下

从内网主机192.168.3.2 ping一下外网主机202.1.1.2，无法连通 但用show xlate 已经可以看到192.168.3.2被转换为192.168.1.2

加一句访问控制列表

access-list 100 permit icmp any any echo-reply access-group 100 in interface outside