PIX alias命令实例详解

admin

网络拓朴如下图所示：

设备：PIX 520 软件4.x版、6.22版：
目前的情况是：DDN接入我单位，并且分配有公网IP地址。
outside的网段是 202.99.100.0/24
DMZ 的网段是 192.168.1.0/24
Inside 的网段是 10.10.1.0/24

有已经在CNNIC注册好的域名一个：abc.com.cn，并且是由自己来解析域名，注册时的域名服务器用的是202.99.100.1

一般的情况是在inside架设一台DNS服务器，供Inside的用户使用，而且这个一般是不能缺少的，因为有的服务并不是对外提供的，而是仅仅Inside内的用户使用，并且服务器放在Inside中，这里对Inside的DNS和主机的设置就不多说了。另外，在DMZ区架设一台NDS服务器，用于对外解析abc.com.cn，如解析www.abc.com.cn到202.99.100.2，DNS服务器和WEB服务器都放在DMZ区，用
static (dmz,outside) 202.99.100.1 192.168.1.1 netmask 255.255.255.255 0 0
static (dmz,outside) 202.99.100.2 192.168.1.2 netmask 255.255.255.255 0 0
…………..
……….
……
conduit permit udp host 202.99.100.1 eq domain any
conduit permit tcp host 202.99.100.2 eq www any
来解决外面访问DMZ区服务器的问题。

好了，现在问题出现了，那么DMZ区和inside的主机或者服务器，它们之间该是如何相互访问域名呢？DMZ区的主机或者服务器，它们本身的DNS该指向哪里呢？如果指向DMZ区的那台DNS（192.168.1.1），那么，它们在访问www.abc.com.cn的时候得到的解析结果是202.99.100.2，显然不能访问。最简单的解决办法是，在DMZ区再架设一台DNS，专门为这个区的主机来服务，解析www.abc.com.cn
到192.168.1.2。不过如果这样的话，首先将在DMZ区增加一台服务器，至少要在一台服务器上增加DNS服务；另外，如果每次DNS新增主机的时候，要在两台DNS上做添加、修改。其实，在PIX520 上的alias命令能解决这个问题，让你的DMZ区只需要一台DNS服务器。

alias (dmz) 192.168.1.2 202.99.100.2 255.255.255.255

好了，就是这条命令。
但是，我多次的试验就是不成功。我的最初的想象是，DMZ区的主机DNS指向就是DMZ区的DNS服务器，当解析回来的地址是202.99.100.2的时候，在防火墙上的alias (dmz)……命名会告诉那台主机，它还有别名叫192.168.1.2，然后主机就会去访问192.168.1.2，但是实际情况是DMZ区的主机无论如何都是无法Ping通www.abc.com.cn ，更别说浏览了。最终通过试验发现，DMZ区的主机或者服务器，它们的DNS指向不能是本区的DNS服务器，而是公网上的（如数据局）一台DNS服务器，这样，它们访问 www.abc.com.cn就没有问题了。