ASDM是思科提供的自適應安全設備管理器
一、ASDM的按裝
1、登録到PIX并且進入啓用模式:“pix> enable”
2、進入啓用模式之後,輸入命令“copy tftp flash”,你現在可以看到彈出如下信息:
3、“Address or name of remote host [x.x.x.x]? ”。你需要在這裏輸入托管ASDM圖像的TFTP服務器的IP地址。
4、“Source file name [cdisk]? ”。輸入ASDM圖像的文件名,例如:asdm502.bin for ASDM version 5.0(2)。
5、“Destination file name [asdm502.bin]?”。這裏實際上没有任何事情可做,除非你要重新命名你正在傳輸的圖像。
所以,這裏按回車鍵。
6、我們需要告訴PIX軟件ASDM在什麽地方。因此,我們要要以配置模式發出下列命令。
如果你喜歡這種長的方式,你可以在CLI輸入“conf t”或者“configure terminal”。
一旦進入設置模式“pix(config)#”,然後輸入“asdm image flash:asdm502.bin”,
然後按回車鍵。可以用show flash查看asdm文件名
7、由于我們已經讓我們的PIX知道了ASDM在什麽地方,現在可以向PIX發出“write mem”或者“write memory”指令。
你將得到一個信息,説正在構建配置,然後將返回到“pix(config)#”。這個時候,我們就安裝完了ASDM。
二、ASDM的配置
為了訪問ASDM,我們需要做幾件事情。否則,這個PIX軟件將拒絶通信并且切斷連接。
為了允許這個連接,我們需要以config(配置)模式發布如下指令:
1、http server enable:這個指令要首先發布并且啓動http/https服務器。
2、http 0 0 inside:這個指令能够啓動來自PIX内部設置的任何主機/網絡的通信。
如果你僅允許你的工作站通信,這個工作站的地址是192.168.89.44,
那麽,這個指令就是“http 192.168.89.44 255.255.255.255 inside”。
你還可以允許一個子網或者多個子網連接。如果你需要在任何時候撤銷任何入口,
簡單地使用這個指令就可以了“no http x.x.x.x z.z.z.z inside”。這裏的x代表IP地址,z代表子網。
3、如果没有添加用户可以用username命令添加一個用户:name cisco password cisco123456
4、現在,你可以實驗一下,使用https://x.x.x.x/admin連接ASDM。在這裏,x代表在PIX接口内部的IP地址。
5、登陸成功後用可以用ie直接運行,或下載登陸界面上的Cisco ASDM Launcher桌面程序管理。
如果用ie管理,則要裝java虚擬機。
請注意,也可以配置成從接口外部訪問ASDM。你需要確認,當你添加“http x.x.x.x z.z.z.z ”指令的時候,
你是在指定這個接口為外部接口,用一台安全的計算機可以訪問那個接口。然而,這種方法不推薦使用,
由于ASDM的强大功能,把ASDM放在可以公開訪問的網絡上是不明智的。
2008年4月20日 星期日
IPTABLES中SNAT和MASQUERADE的區別
IPtables中SNAT和MASQUERADE的區別
IPtables中可以靈活的做各種網絡地址轉换(NAT)網絡地址轉换主要有兩種:SNAT和DNAT
SNAT是source network address translation的縮寫即源地址目標轉换比如,多個PC機使用ADSL路由器共享上網每個PC機都配置了内網IPPC機訪問外部網絡的時候,路由器將數據包的報頭中的源地址替换成路由器的ip當外部網絡的服務器比如網站web服務器接到訪問請求的時候他的日志記録下來的是路由器的ip地址,而不是pc機的内網ip這是因為,這個服務器收到的數據包的報頭裏邊的“源地址”,已經被替换了所以叫做SNAT,基于源地址的地址轉换
DNAT是destination network address translation的縮寫即目標網絡地址轉换典型的應用是,有個web服務器放在内網配置内網ip,前端有個防火墻配置公網ip互聯網上的訪問者使用公網ip來訪問這個網站當訪問的時候,客户端發出一個數據包這個數據包的報頭裏邊,目標地址寫的是防火墻的公網ip防火墻會把這個數據包的報頭改寫一次,將目標地址改寫成web服務器的内網ip然後再把這個數據包發送到内網的web服務器上這様,數據包就穿透了防火墻,并從公網ip變成了一個對内網地址的訪問了即DNAT,基于目標的網絡地址轉换MASQUERADE,地址僞裝,在iptables中有着和SNAT相近的效果,但也有一些區彆但使用SNAT的時候,出口ip的地址範圍可以是一個,也可以是多個,例如:
如下命令表示把所有10.8.0.0網段的數據包SNAT成192.168.5.3的ip然後發出去iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.168.5.3
如下命令表示把所有10.8.0.0網段的數據包SNAT成192.168.5.3/192.168.5.4/192.168.5.5等幾個ip然後發出去iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.168.5.3-192.168.5.5
這就是SNAT的使用方法,即可以NAT成一個地址,也可以NAT成多個地址但是,對于SNAT,不管是幾個地址,必須明確的指定要SNAT的ip假如當前系統用的是ADSL動態撥號方式,那麽每次撥號,出口ip192.168.5.3都會改變而且改變的幅度很大,不一定是192.168.5.3到192.168.5.5範圍内的地址這個時候如果按照現在的方式來配置iptables就會出現問題了因為每次撥號後,服務器地址都會變化,而iptables規則内的ip是不會隨着自動變化的每次地址變化後都必須手工修改一次iptables,把規則裏邊的固定ip改成新的ip這様是非常不好用的
MASQUERADE就是針對這種場景而設計的,他的作用是,從服務器的網卡上,自動獲取當前ip地址來做NAT比如下邊的命令:
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE如此配置的話,不用指定SNAT的目標ip了不管現在eth0的出口獲得了怎様的動態ip,MASQUERADE會自動讀取eth0現在的ip地址然後做SNAT出去這様就實現了很好的動態SNAT地址轉换
注:
對于MASQUERADE,只是計算機的負荷稍微多一點。因為對每個匹配的包,MASQUERADE都要查找可用的IP地址,而不象SNAT用的IP地址是配置好的。當然,這也有好處,就是我們可以使用通過PPP、 PPPOE、SLIP等撥號得到的地址,這些地址可是由ISP的DHCP隨機分配的。
感謝原作者:微笑使者
原文地址 http://www.xp.org.cn/wiki/html/68/n-68.html
IPtables中可以靈活的做各種網絡地址轉换(NAT)網絡地址轉换主要有兩種:SNAT和DNAT
SNAT是source network address translation的縮寫即源地址目標轉换比如,多個PC機使用ADSL路由器共享上網每個PC機都配置了内網IPPC機訪問外部網絡的時候,路由器將數據包的報頭中的源地址替换成路由器的ip當外部網絡的服務器比如網站web服務器接到訪問請求的時候他的日志記録下來的是路由器的ip地址,而不是pc機的内網ip這是因為,這個服務器收到的數據包的報頭裏邊的“源地址”,已經被替换了所以叫做SNAT,基于源地址的地址轉换
DNAT是destination network address translation的縮寫即目標網絡地址轉换典型的應用是,有個web服務器放在内網配置内網ip,前端有個防火墻配置公網ip互聯網上的訪問者使用公網ip來訪問這個網站當訪問的時候,客户端發出一個數據包這個數據包的報頭裏邊,目標地址寫的是防火墻的公網ip防火墻會把這個數據包的報頭改寫一次,將目標地址改寫成web服務器的内網ip然後再把這個數據包發送到内網的web服務器上這様,數據包就穿透了防火墻,并從公網ip變成了一個對内網地址的訪問了即DNAT,基于目標的網絡地址轉换MASQUERADE,地址僞裝,在iptables中有着和SNAT相近的效果,但也有一些區彆但使用SNAT的時候,出口ip的地址範圍可以是一個,也可以是多個,例如:
如下命令表示把所有10.8.0.0網段的數據包SNAT成192.168.5.3的ip然後發出去iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.168.5.3
如下命令表示把所有10.8.0.0網段的數據包SNAT成192.168.5.3/192.168.5.4/192.168.5.5等幾個ip然後發出去iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.168.5.3-192.168.5.5
這就是SNAT的使用方法,即可以NAT成一個地址,也可以NAT成多個地址但是,對于SNAT,不管是幾個地址,必須明確的指定要SNAT的ip假如當前系統用的是ADSL動態撥號方式,那麽每次撥號,出口ip192.168.5.3都會改變而且改變的幅度很大,不一定是192.168.5.3到192.168.5.5範圍内的地址這個時候如果按照現在的方式來配置iptables就會出現問題了因為每次撥號後,服務器地址都會變化,而iptables規則内的ip是不會隨着自動變化的每次地址變化後都必須手工修改一次iptables,把規則裏邊的固定ip改成新的ip這様是非常不好用的
MASQUERADE就是針對這種場景而設計的,他的作用是,從服務器的網卡上,自動獲取當前ip地址來做NAT比如下邊的命令:
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE如此配置的話,不用指定SNAT的目標ip了不管現在eth0的出口獲得了怎様的動態ip,MASQUERADE會自動讀取eth0現在的ip地址然後做SNAT出去這様就實現了很好的動態SNAT地址轉换
注:
對于MASQUERADE,只是計算機的負荷稍微多一點。因為對每個匹配的包,MASQUERADE都要查找可用的IP地址,而不象SNAT用的IP地址是配置好的。當然,這也有好處,就是我們可以使用通過PPP、 PPPOE、SLIP等撥號得到的地址,這些地址可是由ISP的DHCP隨機分配的。
感謝原作者:微笑使者
原文地址 http://www.xp.org.cn/wiki/html/68/n-68.html
訂閱:
文章 (Atom)