嗯~依照ABSOLUT兄的設定後，外部的信是可以收到了，但變成內部只有10.10.10.2可以上網，其他的電腦都無法上網了…

繼續試驗中…

Cisco的config最後一行是permit的話會變成default deny,所以你得明確的定義所有permit的狀況(including all inbound/outbound:p:p)....

因為我目前這條網路只有一個固定IP 61.62.x.x，所以目前能讓內部全部上網的設定是用PAT(port Address Translation)而不是用NAT，

只要加上這一行：static (inside,outside) 61.62.x.x 10.10.10.2 netmask 255.255.255.255 0 0

再設定ACL，雖然可以收信，但也會造成只有10.10.10.2能上網…

而依照cmwang兄所說，configuration的Access Rules最後一行會變成default deny，但我看到的圖形介面還是Permit，所以10.10.10.2還能上網…

而該ACL是內定的outbound全部ip開放成any…

總而言之，只好繼續測試…

您不如把整個config貼上來吧:p....



或許Cisco works正是問題所在:p....雖然鵝沒摸過PIX(鵝離開這行很久了:p),但以鵝管過從16xx-75xx的經驗而言那個GUI根本是玩具:p,只要懂TCP/IP,command不用多熟,一般的config通常只要幾分鐘就能搞定(GUI恐怕還沒這麼快:p),複雜的config GUI也作不出來(以上是鵝個人意見,不知現在有沒有改善就是了:p),更別說如firewall這類對先後次序很敏感的AP了(次序不對不是不work就是loading大增:p),如果您對這些東東真有興趣,最好還是忘了GUI這回事比較實在:p....

嗯~那個GUI的PDM(PIX Device Manager)，經過昨天測試的結果，的確有很多語法不支援，

而且只要直接在command Line下PDM所不支援的語法後，PDM就會直接掛掉，變成只有Command Line可以用…

真不知道Cisco設計PDM這種GUI幹嘛? 還不如直接用Console連進去比較不用受罪…

本來是想說光靠PDM就能搞定…已經是最新版的PDM 3.0了，還是只有這種程度…

想起來，這種情況好像我在兩年前用的Sun Cobalt RaQ3一樣，那個Web GUI一點用都沒有，

又慢，又沒什麼功能，最後，還是直接用Telnet連進去直接改…

大廠都是這樣嗎?…????

看起來是解決了，完全是直接在command下語法達成的，而且在command所下的Access Rules的語法在PDM完全無法顯示…，

關鍵是在於只有一個外部IP時，在NAT的部份一定要指定redirect port才行…不然會造成只有server能上網…

現在測試的結果是寄、收信都正常，內部上網正常…

相關語法待我測試幾天後，經過整理再po上…


多謝大家幫忙，並感謝提供技術支援的趨勢科技工程師王先生^^ (因為是向趨勢買的^^)

Cisco Pix 501單一固定IP設定步驟
 

以PDM介面為主，因為Quick Guide上也是…

如系統上無Java VM，請先上java.sun.com下載Java VM，如WinXP就需安裝。

並將連接的內部網域電腦改為192.168.1.2或以上，submask為255.255.255.0

1、開啟IE，在網址上鍵入 https://192.168.1.1/startup.html 進入初次設定畫面。(以後都打https://192.168.1.1即可開啟PDM)

2、在一系列設定步驟後，最後勾選launch PDM即可直接開啟PDM。

3、再來就是設定Translation Rules

選上方選單中的Tool->Command Line，進入後先鍵入以下命令，再按SEND

static (inside,outside) tcp 61.62.x.x smtp 192.168.1.3 smtp netmask 255.255.255.255 0 0

在這段敘述中，61.62.x.x為外部的單一固定IP，192.168.1.3為位於內部的E-Mail Server，

如果要開啟位於內部的DNS Server，請將SMTP 改為 Domain 。

4、再來設定Access Rules

一樣鍵入 access-list 1 permit tcp any host 61.62.x.x eq smtp

如要開啟ping，再加一行

access-list 1 permit icmp any any

5、大致上這樣不管內外都能順利運作，有需要開啟的port，只要依樣畫葫蘆即可。


設定後感言：

建議絕不要用PDM，有一些問題：

1、如果要將內部IP從192.168.1.1改為10.10.10.2，會告知跟DHCP的網段不同而不讓您改，很多其他的設定也是會互相牽制造成無法更改…

不過我有用PDM將內部IP成功變動過，但已經忘記怎麼做了…

2、不同的Command 敘述，在PDM上看起來是一樣的，但運作結果不同…如下兩行敘述：

static (inside,outside) tcp interface pop3 192.168.1.3 pop3 netmask 255.255.255.255 0 0

static (inside,outside) tcp 61.62.134.34 pop3 192.168.1.3 pop3 netmask 255.255.255.255 0 0

且第一行的設法會造成內部無法上網…這就是PDM自行產生的語法…

3、不過，PDM除了Configuration的部份不行之外，其他的部份倒還有用，如Monitor…