PIX alias命令实例详解

来源：作者：出处：巧巧读书 2006-07-25 进入讨论组

　　网络拓朴如下图所示：
　　

　　设备：PIX 520 软件4.x版、6.22版：
　　
　　目前的情况是：DDN接入我单位，并且分配有公网IP地址。
　　outside的网段是 202.99.100.0/24
　　DMZ 的网段是 192.168.1.0/24
　　Inside 的网段是 10.10.1.0/24
　　
　　
　　有已经在CNNIC注册好的域名一个：abc.com.cn，并且是由自己来解析域名，注册时的域名服务器用的是202.99.100.1
　　
　　
　　一般的情况是在inside架设一台DNS服务器，供Inside的用户使用，而且这个一般是不能缺少的，因为有的服务并不是对外提供的，而是仅仅Inside内的用户使用，并且服务器放在Inside中，这里对Inside的DNS和主机的设置就不多说了。另外，在DMZ区架设一台NDS服务器，用于对外解析abc.com.cn，如解析www.abc.com.cn到202.99.100.2，DNS服务器和WEB服务器都放在DMZ区，用
　　static (dmz,outside) 202.99.100.1 192.168.1.1 netmask 255.255.255.255 0 0
　　static (dmz,outside) 202.99.100.2 192.168.1.2 netmask 255.255.255.255 0 0
　　…………..
　　……….
　　……
　　conduit permit udp host 202.99.100.1 eq domain any
　　conduit permit tcp host 202.99.100.2 eq www any
　　来解决外面访问DMZ区服务器的问题。
　　
　　
　　好了，现在问题出现了，那么DMZ区和inside的主机或者服务器，它们之间该是如何相互访问域名呢？DMZ区的主机或者服务器，它们本身的DNS该指向哪里呢？如果指向DMZ区的那台DNS（192.168.1.1），那么，它们在访问www.abc.com.cn的时候得到的解析结果是202.99.100.2，显然不能访问。最简单的解决办法是，在DMZ区再架设一台DNS，专门为这个区的主机来服务，解析www.abc.com.cn
　　到192.168.1.2。不过如果这样的话，首先将在DMZ区增加一台服务器，至少要在一台服务器上增加DNS服务；另外，如果每次DNS新增主机的时候，要在两台DNS上做添加、修改。其实，在PIX520 上的alias命令能解决这个问题，让你的DMZ区只需要一台DNS服务器。
　　
　　
　　alias (dmz) 192.168.1.2 202.99.100.2 255.255.255.255
　　
　　
　　好了，就是这条命令。
　　但是，我多次的试验就是不成功。我的最初的想象是，DMZ区的主机DNS指向就是DMZ区的DNS服务器，当解析回来的地址是202.99.100.2的时候，在防火墙上的alias (dmz)……命名会告诉那台主机，它还有别名叫192.168.1.2，然后主机就会去访问192.168.1.2，但是实际情况是DMZ区的主机无论如何都是无法Ping通www.abc.com.cn ，更别说浏览了。最终通过试验发现，DMZ区的主机或者服务器，它们的DNS指向不能是本区的DNS服务器，而是公网上的（如数据局）一台DNS服务器，这样，它们访问 www.abc.com.cn就没有问题了。
　　
　　
　　原理是这样的：DMZ区的一台主机发出对www.abc.com.cn
　　的DNS请求，公网上的那台DNS服务器最终会把解析请求发给DMZ区的那台DNS服务器（192.168.1.1），它解析的结果是202.99.100.2并把解析包告诉公网DNS服务器，公网的DNS服务器返回给DMZ区主机的dns reply包会被PIX上的alias (dmz)……命名所更改成192.168.1.2，从而使DMZ区的主机用域名的方式成功访问本区内的服务器，而由外面向dmz的dns请求以及返回包不受影响。
　　
　　ALIAS命令完整的格式解析：
　　
　　alias (发出DNS请求的接口) 需要转换成的IP地址外部DNS server给出的响应地址 255.255.255.255巧巧读书:http://www.qqread.com/net-saft/c687176081.html