需求:想通过pix做snat使内网用户上网,再做dnat使访问本公网IP的http服务、ssh服务转换为192.168.4.2的http服务、ssh服务,对192.168.4.2开放本pix的telnet服务
     
     pix515防火墙配置策略实例
     
     #转换特权用户
     pixfirewall>ena
     pixfirewall#
     
     #进入全局配置模式
     pixfirewall# conf t
     
     #激活内外端口
     interface ethernet0 auto
     interface ethernet1 auto
     
     #下面两句配置内外端口的安全级别
     nameif ethernet0 outside security0
     nameif ethernet1 inside security100
     
     #配置防火墙的用户信息
     enable password pix515
     hostname pix515
     domain-name domain
     
     #下面几句配置内外网卡的IP地址
     ip address inside 192.168.4.1 255.255.255.0
     ip address outside 公网IP 公网IP子网掩码
     global (outside) 1 interface
     nat (inside) 1 192.168.4.0 255.255.255.0 0 0
     
     #下面两句将定义转发公网IP的ssh和www服务到192.168.4.2
     static (inside,outside) tcp 公网IP www 192.168.4.2 www netmask 255.255.255.255 0 0
     static (inside,outside) tcp 公网IP ssh 192.168.4.2 ssh netmask 255.255.255.255 0 0
     
     #下面两句将定义外部允许访问内部主机的服务
     conduit permit tcp host 公网IP eq www any
     conduit permit tcp host 公网IP eq ssh 信任IP 255.255.255.255
     
     #允许内部服务器telnet pix
     telnet 192.168.4.2 255.255.255.0 inside
     
     #下面这句允许ping
     conduit permit icmp any any
     
     #下面这句路由网关
     route outside 0.0.0.0 0.0.0.0 公网IP网关 1
     
     #保存配置
     write memory