局域网只有一个公共固定ip地址，想通过pix506防火墙把内网的web服务器影射到外网，通过static和condui设置。

通过pix做snat使内网用户上网，再做dnat使访问本公网IP的http服务、ssh服务转换为192.168.4.2的http服务、ssh服务，对192.168.4.2开放本pix的telnet服务
　　
　　pix515防火墙配置策略实例
　　 　　pixfirewall>ena
　　pixfirewall#
　　
　　#进入全局配置模式
　　pixfirewall# conf t
　　
　　#激活内外端口
　　interface ethernet0 auto
　　interface ethernet1 auto
　　
　　#下面两句配置内外端口的安全级别
　　nameif ethernet0 outside security0
　　nameif ethernet1 inside security100
　　
　　#配置防火墙的用户信息
　　enable password pix515
　　hostname pix515
　　domain-name domain
　　
　　#下面几句配置内外网卡的IP地址
　　ip address inside 192.168.4.1 255.255.255.0
　　ip address outside 公网IP 公网IP子网掩码
　　global (outside) 1 interface
　　nat (inside) 1 192.168.4.0 255.255.255.0 0 0
　　
　　#下面两句将定义转发公网IP的ssh和www服务到192.168.4.2
　　static (inside,outside) tcp 公网IP www 192.168.4.2 www netmask 255.255.255.255 0 0
　　static (inside,outside) tcp 公网IP ssh 192.168.4.2 ssh netmask 255.255.255.255 0 0
　　
　　#下面两句将定义外部允许访问内部主机的服务
　　conduit permit tcp host 公网IP eq www any
　　conduit permit tcp host 公网IP eq ssh 信任IP 255.255.255.255
　　
　　#允许内部服务器telnet pix
　　telnet 192.168.4.2 255.255.255.0 inside
　　
　　#下面这句允许ping
　　conduit permit icmp any any
　　
　　#下面这句路由网关
　　route outside 0.0.0.0 0.0.0.0 公网IP网关 1
　　
　　#保存配置
　　write memory