科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Cisco PIX 防火墙的问题集锦

Cisco PIX 防火墙的问题集锦

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

有客户想把服务器搬到dmz区,但是服务器地址不变,这样除了透明模式我还想不到其他办法,inside和outside的透明模式我知道,但是inside和dmz的透明模式怎么办?

作者:论坛整理 来源:zdnet网络安全 2008年4月14日

关键字: 防火墙 防火墙技术 硬件防火墙

  • 评论
  • 分享微博
  • 分享邮件

  如何允许外网用户Telnet至PIX的outside?

  补充一下

  Licensed Features:

  VPN-DES: Enabled

  VPN-3DES: Disabled

  用SSH就可以。 telnet不可以!

  对inside 倒dmz的访问,需要做nat配 置,对于dmz到inside的访问,需要做static 与access-list的配置。

  PIX 515E连接ADSL路由MODEM!

  想知道E0口上怎么配置与开启路由的MODEM的连接。让内网所有用户可以都通过这个MODEM上网。

  ADSL MODEM IP:192.168.1.1

  pixfirwall(config)#vpdn group <组名> request dialout pppoe

  pixfirwall(config)#vpdn group <组名> ppp auth PAP/CHAP/MSCHAP

  pixfirwall(config)#vpdn group <组名> localname <拨号的用户名>

  pixfirwall(config)#vpdn username <用户名> password <密码>

  pixfirwall(config)#ip add <接口名称-随便定义> pppoe

  我想通过在pix 515e 上进行设置使某些内网用户只能上一个特定的网站

  当前配置如下:

  PIX Version 6.3(3)

  interface ethernet0 auto

  interface ethernet1 auto

  nameif ethernet0 outside security0

  nameif ethernet1 inside security100

  hostname pixfirewall

  fixup protocol dnsmaximum-length 512

  fixup protocol ftp21

  fixup protocol h323 h225 1720

  fixup protocol h323 ras 1718-1719

  fixup protocol http 80

  fixup protocol rsh 514

  fixup protocol rtsp 554

  fixup protocol sip5060

  fixup protocol sip udp 5060

  fixup protocol skinny 2000

  fixup protocol smtp 25

  fixup protocol sqlnet 1521

  fixup protocol tftp 69

  names

  pager lines 24

  mtu outside 1500

  mtu inside 1500

  ip address outside 61.155.88.82 255.255.255.252

  ip address inside 10.10.3.253 255.255.255.0

  ip audit info action alarm

  ip audit attack action alarm

  pdm history enable

  arp timeout 14400

  global (outside) 3 interface

  nat (inside) 3 10.10.1.1 255.255.255.255 0 0

  nat (inside) 3 10.10.1.9 255.255.255.255 0 0

  nat (inside) 3 10.10.1.81 255.255.255.255 0 0

  nat (inside) 3 10.10.1.82 255.255.255.255 0 0

  nat (inside) 3 10.10.1.113 255.255.255.255 0 0

  nat (inside) 3 10.10.1.161 255.255.255.255 0 0

  nat (inside) 3 10.10.1.162 255.255.255.255 0 0

  nat (inside) 3 10.10.1.165 255.255.255.255 0 0

  nat (inside) 3 10.10.1.240 255.255.255.255 0 0

  nat (inside) 3 10.10.2.240 255.255.255.248 0 0

  nat (inside) 3 10.10.1.240 255.255.255.240 0 0

  route outside 0.0.0.0 0.0.0.0 61.155.88.81 1

  route inside 10.0.0.0 255.0.0.0 10.10.3.254 1

  timeout xlate 3:00:00

  timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc

  0:10:00 h225 1:00:00

  timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media

  0:02:00

  timeout uauth 0:05:00 absolute

  aaa-server TACACS+ protocol tacacs+

  aaa-server RADIUS protocol radius

  aaa-server LOCAL protocol local

  no snmp-server location

  no snmp-server contact

  snmp-server community public

  no snmp-server enable traps

  floodguard enable

  telnet timeout 5

  ssh timeout 5

  console timeout 0

  terminal width 80

  Cryptochecksum:72a261056ba18f4dbefab375fb871688

  : end

  是的,可以将针对这些主机的限制策略放在acl的最上端,应用在inside口的in的方向上。

  你可以用支持时间的acl来做,也可以用tacacs来验证用户,定义downloaded acl

  请教pix515 acl 如何屏蔽一个网段?

  deny ip host 61.129.64.* any

  61.129.64.*这样的网段该咋样屏蔽?

  juechen70 (版主)

  deny ip 61.129.64.0 255.255.255.0

  csco10334975 (普通用户)

  deny ip 61.129.64.0 255.255.255.0 any

  mythis (普通用户)

  access-list 100 deny ip 61.129.64.0 255.255.255.0 any

  pix上启用了DHCP,不允许内网自动获取只允许DMZ自动获如何做。

  dhcpd address 192.118.0.5-192.118.0.254 dmz

  dhcpd enable dmz

  dhcpd dns 219.141.136.10 218.247.141.68

  这样就可以了!

  pix7.0 如何在routed 和 transparent 两种方式中切换?

  我的pix 515e 升级到pix7.01 我想使用 transparent 模式, 请大家教如何做了?

  firewall transparent

  no firewall transparent

  在515E中配置DHCP网关的命令是什么

  dhcpd enable inside

  pix能不能实现dmz和inside透明模式呢?

  有客户想把服务器搬到dmz区,但是服务器地址不变,这样除了透明模式我还想不到其他办法,inside和outside的透明模式我知道,但是inside和dmz的透明模式怎么办?地址必须改变。透明桥模式下是没有DMZ概念的。地址不变也可以.做地址映射的时候翻译相同的地址就行了. 但是想搬到dmz区的机器和inside区的机器是同一网段的服务器和用户都是用一网段的,不改变地址怎么搞?

  如何配置PIX透明模式?

  首先,需要升级pix os到7.0.1

  直接输入firewall transparent 命令就可以让PIX工作在透明模式下面。 工作在透明模式下时,pix相当于一条网线,故障切换由其它的三层设备完成。

  做防火墙的策略一般多是和端口对应的,外网在透明模式时怎样访问内网HTTI.HTTPS.PPTP,TCP/UDP-5060/1270

  有一点,透明模式下必须设置管理地址才会通

  有所变化,以前用PIX515双机作failover,pix os版本好像是6.3就不支持透明模式.看来透明模式的应用还是挺多的,可以做网络分区之间的安全隔离,最重要的是可以让动态路由协议穿过.

  如何看用命令看这两台PIX支持的最大连接数(不是使用中的最大连接数,而是license所限制的最大连接数)

  show ver.

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章