如何允許外網用戶Telnet至PIX的outside?
補充一下
Licensed Features:
VPN-DES: Enabled
VPN-3DES: Disabled |
用SSH就可以。 telnet不可以!
對inside 倒dmz的訪問,需要做nat配 CRIPT language=javascript src="/CMS/JS/newsad.js"> 置,對于dmz到inside的訪問,需要做static 與access-list的配置。
PIX 515E連接ADSL 路由MODEM!
想知道E0口上怎么配置與開啟路由的MODEM的連接。讓內網所有用戶可以都通過這個MODEM上網。
ADSL MODEM IP:192.168.1.1
pixfirwall(config)#vpdn group <組名> request dialout pppoe
pixfirwall(config)#vpdn group <組名> ppp auth PAP/CHAP/MSCHAP
pixfirwall(config)#vpdn group <組名> localname <撥號的用戶名>
pixfirwall(config)#vpdn username <用戶名> password <密碼>
pixfirwall(config)#ip add <接口名稱-隨便定義> pppoe |
我想通過在pix 515e 上進行設置使某些內網用戶只能上一個特定的網站
當前配置如下:
PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
hostname pixfirewall
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 61.155.88.82 255.255.255.252
ip address inside 10.10.3.253 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 3 interface
nat (inside) 3 10.10.1.1 255.255.255.255 0 0
nat (inside) 3 10.10.1.9 255.255.255.255 0 0
nat (inside) 3 10.10.1.81 255.255.255.255 0 0
nat (inside) 3 10.10.1.82 255.255.255.255 0 0
nat (inside) 3 10.10.1.113 255.255.255.255 0 0
nat (inside) 3 10.10.1.161 255.255.255.255 0 0
nat (inside) 3 10.10.1.162 255.255.255.255 0 0
nat (inside) 3 10.10.1.165 255.255.255.255 0 0
nat (inside) 3 10.10.1.240 255.255.255.255 0 0
nat (inside) 3 10.10.2.240 255.255.255.248 0 0
nat (inside) 3 10.10.1.240 255.255.255.240 0 0
route outside 0.0.0.0 0.0.0.0 61.155.88.81 1
route inside 10.0.0.0 255.0.0.0 10.10.3.254 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc
0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media
0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:72a261056ba18f4dbefab375fb871688
: end
|
是的,可以將針對這些主機的限制策略放在acl的最上端,應用在inside口的in的方向上。
你可以用支持時間的acl來做,也可以用tacacs來驗證用戶,定義downloaded acl
請教pix515 acl 如何屏蔽一個網段?
deny ip host 61.129.64.* any
61.129.64.*這樣的網段該咋樣屏蔽?
juechen70 (版主)
deny ip 61.129.64.0 255.255.255.0
csco10334975 (普通用戶)
deny ip 61.129.64.0 255.255.255.0 any
mythis (普通用戶)
access-list 100 deny ip 61.129.64.0 255.255.255.0 any
pix上啟用了DHCP,不允許內網自動獲取只允許DMZ自動獲如何做。
dhcpd address 192.118.0.5-192.118.0.254 dmz
dhcpd enable dmz
dhcpd dns 219.141.136.10 218.247.141.68 |
這樣就可以了!
pix7.0 如何在routed 和 transparent 兩種方式中切換?
我的pix 515e 升級到pix7.01 我想使用 transparent 模式, 請大家教如何做了?
firewall transparent
no firewall transparent
在515E中配置DHCP網關的命令是什么
dhcpd enable inside
pix能不能實現dmz和inside透明模式呢?
有客戶想把服務器搬到dmz區,但是服務器地址不變,這樣除了透明模式我還想不到其他辦法,inside和outside的透明模式我知道,但是
inside和dmz的透明模式怎么辦?地址必須改變。透明橋模式下是沒有DMZ概念的。地址不變也可以.做地址映射的時候翻譯相同的地址就行了. 但是想搬到dmz區的機器和inside區的機器是同一網段的服務器和用戶都是用一網段的,不改變地址怎么搞?
如何配置PIX透明模式?
首先,需要升級pix os到7.0.1
直接輸入firewall transparent 命令就可以讓PIX工作在透明模式下面。 工作在透明模式下時,pix相當于一條網線,故障切換由其它的三層設
備完成。
做防火墻的策略一般多是和端口對應的,外網在透明模式時怎樣訪問內網HTTI.HTTPS.PPTP,TCP/UDP-5060/1270
有一點,透明模式下必須設置管理地址才會通
有所變化,以前用PIX515雙機作failover,pix os版本好像是6.3就不支持透明模式.看來透明模式的應用還是挺多的,可以做網絡分區之間的安全隔離,最重要的是可以讓動態路由協議穿過.
如何看用命令看這兩臺PIX支持的最大連接數(不是使用中的最大連接數,而是license所限制的最大連接數)
show ver.
