PCDVD數位科技討論區
第1頁 共2頁 1 2 下一頁
每頁顯示此主題的 10 個文章

PCDVD數位科技討論區 (https://www.pcdvd.com.tw/index.php)
-   疑難雜症區 (https://www.pcdvd.com.tw/forumdisplay.php?f=34)
-   -   有關Cisco Pix 501 Firewall 設定問題? (https://www.pcdvd.com.tw/showthread.php?t=386624)

YCCheng 2004-09-18 08:48 PM
有關Cisco Pix 501 Firewall 設定問題?
 
各位好,

不知有哪位人士有這台防火牆設定相關經驗能請教,問題如下,多謝:


先描述一下我的網路環境:

pix501 WAN接到So-Net一固定IP:61.62.x.x 的ATU-R,LAN接到一switch,switch上有一exchange server。

該exchange server位於內部IP:10.10.10.2,重點是,

這台防火牆如何將外部寄至SMTP的mail指向內部的SMTP,也就是說,

如何設定類似one to one NAT的功能,或說是虛擬伺服器,或是server publish這種功能。

總而言之,就是要讓內部的exchange能收信…


因為已經試了好一陣子了,不得已只好麻煩各位了,懇請回覆,多謝!

u8526425 2004-09-19 01:21 AM
我是沒玩過cisco的東西
但這一台起碼20000起跳
像這種貴森森的東西
基本上
賣你東西的人有責任教會你怎樣操作 (不然你買來幹嘛)
應該是請教代理商才對

不然去vlab問問吧
http://www.vlab.com.tw/vlabforums/index.php

cmwang 2004-09-19 12:15 PM
引用:
作者u8526425
我是沒玩過cisco的東西
但這一台起碼20000起跳
像這種貴森森的東西
基本上
賣你東西的人有責任教會你怎樣操作 (不然你買來幹嘛)
應該是請教代理商才對

不然去vlab問問吧
http://www.vlab.com.tw/vlabforums/index.php


看到這段鵝想起一段往事,有天鵝以前公司的sales把鵝帶出場去設一顆小router(Cisco 17xx),鵝也沒多問設完就走人,但過沒幾天那位sales就離職了:p....

過了一個禮拜某天的午休時間突然有個鵝不認識的人打電話來找鵝,原來是那位sales的朋友,他問鵝可不可以出去幫他設router,鵝說不太方便(其實是太熱了懶得出門:p),但鵝告訴他把機器和連線單位給的資料帶來office,鵝就能幫他設,過了不久那位先生果然帶了機司(Cisco 26xx:p)來了,鵝看了一下沒5分鐘就設好了,那位先生告訴鵝他願意付$$,鵝笑了笑說鵝5分鐘解決的case,你想鵝能向你charge多少??還是算了吧:p....

不過這麼一來倒引起鵝的好奇心了,鵝問那位先生你的機器是向哪家SI進的,一般SI應該會幫user設才對(不過要另外charge,行情是機器的10%:p),他說沒錯,但是SI要charge NT$10K(那台機器user price超過NT$100K,SI的確是按行情開價的:p),他先前看鵝設像很簡單,想DIY一下,不過就是搞不定,驗收期限快到了只好硬著頭皮找鵝救火(說不定當初鵝叫他把機器留下,1hr後再來拿然後向他charge NT$5K他還覺得便宜:D:D),他還問鵝哪裡有教人這類東東的(他也算網路相關業者,不過應該只到L1而已:p),鵝笑笑說外面的補習班頂多只能教你command,沒辦法教know how,光會command運氣好時或許可以work,運氣不好時要如何trouble shooting恐怕就是大問題了,但know how是要花$$和時間外加有強烈的動機才能慢慢累積的,只是真能做到這點的人恐怕不多吧:p....

YCCheng 2004-09-19 09:33 PM
其實我主要的目的是要確定這台Cisco Pix 501能不能用PAT做到類似one to one NAT的功能而已,

因為這台是Cisco最低階的Firewall,雖然說明檔的範例中有用NAT的方式達成架SERVER的目的,但

另一部份的說明只有DMZ的方式,

確定的目的是不想做白工…

YCCheng 2004-09-20 11:00 AM
其實我在問問題前已查過網路上能找到的資源了,也試著設定過,

但還是無法正常使用…

但問題可能可以解決了,今天經過趨勢王姓工程師說明,確定用PAT也可以將service指向內部。

有空再試試了。

ABSOLUT 2004-09-20 12:09 PM
先定義出內外對應的 IP

static (inside,outside) 61.62.x.x 10.10.10.2 netmask 255.255.255.255 0 0

再來就是針對 SMTP 開個 port 出去

conduit permit tcp host 61.62.x.x eq smtp any

YCCheng 2004-09-20 01:33 PM
哦~多謝ABSOLUT兄大力幫忙,有這樣的敘述就足夠了,再設不好我就該死了^^

cmwang 2004-09-20 01:53 PM
引用:
作者YCCheng
哦~多謝ABSOLUT兄大力幫忙,有這樣的敘述就足夠了,再設不好我就該死了^^


只設SMTP信進得來,但外面的MUA還是收不到信,得把110/tcp(POP3)或143/tcp(IMAP)也打開才行:p:p....

YCCheng 2004-09-20 02:31 PM
多謝cmwang兄的提醒,依我的情況,要開的port可多了,80、20、21、53、25、110、1433、TS…

不過我想我不需要開啟143這個port,我的網路只需SMTP及DNS即可。

等設好後,我將po出詳細的步驟,因為這台在最近的軟體採購常bundle在一起,可能一買就好幾台…也可能有些人有類似的問題。

大概是SonicWall、ISA Server這類操作簡單的firewall用習慣了,Cisco這種設定較複雜的實在讓我一頭霧水…

cheerx@ethome 2004-09-20 05:56 PM
其實CISCO設備的白痴設定法可以上零壹網站找找,很多東西都有範例可以看看,不過之前好像沒有看到PIX的部份.

這年頭,小FIREWALL用CISCO的確是比較不人性化一點,第三品牌的防火牆為了讓更多人上手,就會比較努力解決這種問題,不過我認為PIX嚴格來說還蠻耐操的,不過希望他最近的硬體可靠度還要加油一點.


所有的時間均為GMT +8。 現在的時間是12:58 PM.
第1頁 共2頁 1 2 下一頁
每頁顯示此主題的 10 個文章

vBulletin Version 3.0.1
powered_by_vbulletin 2026。