在NBO上睇到一篇嘢，講嘅系PIX防火墻內網嘅CLIENT，通過域名www.domainname.com訪問在一個內網嘅主機時，由于DNS服務器解釋出來嘅主機地址系PIX映射俾主機嘅公網地址，內網嘅CLIENT會無法訪問。

我6月份個陣我都碰到呢個問題，唔清楚后來個客點樣解決。

睇返NBO上個篇文章：http://bbs.netbuddy.org/network/7143.Html，講咗用alias呢個命名來做，果然好竅！不過更絕妙嘅其它網友嘅回帖，原來STATIC NAT有個DNS參數，咁就唔使做alias啦，天都光嗮！

學無止境！嗯嗯。

順手將個篇嘢偷過來先。

DNS參數：
[no] static [(internal_if_name, external_if_name)] {global_ip interface} local_ip [dns] [netmask
mask][max_conns [emb_limit [norandomseq]]]
[no] static [(internal_if_name, external_if_name)] {tcp udp}{global_ip interface} global_port
local_ip local_port [dns] [netmask mask][max_conns [emb_limit [norandomseq]]]

alias文章：
理解Cisco Secure PIX Firewall上的alias命令
（作者：fog編譯）

前言：
最近我設置防火墻vpn和服務器，DMZ區服務器發布的問題,從互聯網訪問inside或dmz的服務器都很正常，從inside可以上互聯網，但就是不能通過互聯網域名訪問inside和dmz的服務器，很是苦惱，用Google搜索資料，逛到這個論壇來了，這里還不錯，有很多新手和大蝦。在我用google搜索的過程中，不停的碰到很多朋友和我一樣的問題，但始終沒有看到一個妥善解決的辦法。有的朋友提到用內部dns作轉向，這代價未免太大了，就算是本身有DNS，也不是很方便。個別朋友提到alias和alias的資料，但都沒有具體的解說，我到cisco官方網站查到此用法，終于圓滿解決了此問題，特將其翻譯并加些注重事項作些補充，供大家參考。


介紹

本文檔闡述lias在Cisco PIX防火墻中的用法.

Alias的兩個功能:
利用DNS Doctoring修正外部DNS服務器回復
o 利用DNS Doctoring,PIX 將"改變" 外部DNS響應的地址到另一個IP，這個地址不同于DNS服務器上真實提供的域名-IP記錄。
o 此功能實現從內部客戶端通過內部IP地址連接到內部服務器上。
轉換目標IP地址的dnat（Destination NAT）到另一個IP。
o 用dnat改變應用程序的標地址.
o 此功能實現從內部客戶端調用外部地址訪問周邊網絡（例如DMZ區），不修改DNS回復。

例如，一臺機器發送數據到99.99.99.99,可使用alias命令把數據重定向到另一個地址10.10.10.10.可使用此命令避免你網絡里的IP與互聯網或另一個企業內部網的IP沖突。請參考pix官方文檔：http://www.cisco.com/univercd/cc/td/doc/PRodUCt/iaabu/pix/index.htm

硬件和軟件版本
· 此文適用于Cisco Secure PIX Firewall Software Releases 5.0.x或更高版本

用DNS Doctoring轉換內部地址
例1：web服務器地址10.10.10.10，對應的外部IP為99.99.99.99.
注重: DNS在防火墻外.在dos提示窗輸入nslookup驗證一下DNS服務器是如何解析你的web服務器的外部IP.客戶端PC應該返回的是內部地址10.10.10.10,因為DNS請求經過PIX已經被它改變了。另外,要讓DNS fixup正常工作, 需禁止proxy-arp功能。 假如你為DNS fixup使用alias命令，用列命令禁止proxy-arp
sysopt noproxyarp internal_interface
(注：但是我的PIX525沒用此命令仍然設置成功。)
網絡圖如下：