需求：想通过pix做snat使内网用户上网，再做dnat使访问本公网IP的http服务、ssh服务转换为192.168.4.2的http服务、ssh服务，对192.168.4.2开放本pix的telnet服务

pix515防火墙配置策略实例

#转换特权用户

pixfirewall>ena

pixfirewall#

#进入全局配置模式

pixfirewall# conf t

#激活内外端口

interface ethernet0 auto

interface ethernet1 auto

#下面两句配置内外端口的安全级别

nameif ethernet0 outside security0

nameif ethernet1 inside security100

#配置防火墙的用户信息

enable password pix515

hostname pix515

domain-name domain

#下面几句配置内外网卡的IP地址

ip address inside 192.168.4.1 255.255.255.0

ip address outside 公网IP 公网IP子网掩码

global (outside) 1 interface

nat (inside) 1 192.168.4.0 255.255.255.0 0 0

#下面两句将定义转发公网IP的ssh和www服务到192.168.4.2

static (inside,outside) tcp 公网IP www 192.168.4.2 www netmask 255.255.255.255 0 0

static (inside,outside) tcp 公网IP ssh 192.168.4.2 ssh netmask 255.255.255.255 0 0

#下面两句将定义外部允许访问内部主机的服务

conduit permit tcp host 公网IP eq www any

conduit permit tcp host 公网IP eq ssh 信任IP 255.255.255.255

#允许内部服务器telnet pix

telnet 192.168.4.2 255.255.255.0 inside

#下面这句允许ping

conduit permit icmp any any

#下面这句路由网关

route outside 0.0.0.0 0.0.0.0 公网IP网关 1

#保存配置

write memory