我是沒玩過cisco的東西
但這一台起碼20000起跳
像這種貴森森的東西
基本上
賣你東西的人有責任教會你怎樣操作 (不然你買來幹嘛)
應該是請教代理商才對

不然去vlab問問吧
http://www.vlab.com.tw/vlabforums/index.php

看到這段鵝想起一段往事,有天鵝以前公司的sales把鵝帶出場去設一顆小router(Cisco 17xx),鵝也沒多問設完就走人,但過沒幾天那位sales就離職了....

過了一個禮拜某天的午休時間突然有個鵝不認識的人打電話來找鵝,原來是那位sales的朋友,他問鵝可不可以出去幫他設router,鵝說不太方便(其實是太熱了懶得出門),但鵝告訴他把機器和連線單位給的資料帶來office,鵝就能幫他設,過了不久那位先生果然帶了機司(Cisco 26xx)來了,鵝看了一下沒5分鐘就設好了,那位先生告訴鵝他願意付$$,鵝笑了笑說鵝5分鐘解決的case,你想鵝能向你charge多少??還是算了吧....

不過這麼一來倒引起鵝的好奇心了,鵝問那位先生你的機器是向哪家SI進的,一般SI應該會幫user設才對(不過要另外charge,行情是機器的10%),他說沒錯,但是SI要charge NT$10K(那台機器user price超過NT$100K,SI的確是按行情開價的),他先前看鵝設像很簡單,想DIY一下,不過就是搞不定,驗收期限快到了只好硬著頭皮找鵝救火(說不定當初鵝叫他把機器留下,1hr後再來拿然後向他charge NT$5K他還覺得便宜),他還問鵝哪裡有教人這類東東的(他也算網路相關業者,不過應該只到L1而已),鵝笑笑說外面的補習班頂多只能教你command,沒辦法教know how,光會command運氣好時或許可以work,運氣不好時要如何trouble shooting恐怕就是大問題了,但know how是要花$$和時間外加有強烈的動機才能慢慢累積的,只是真能做到這點的人恐怕不多吧....

其實我主要的目的是要確定這台Cisco Pix 501能不能用PAT做到類似one to one NAT的功能而已，

因為這台是Cisco最低階的Firewall，雖然說明檔的範例中有用NAT的方式達成架SERVER的目的，但

另一部份的說明只有DMZ的方式，

確定的目的是不想做白工…

其實我在問問題前已查過網路上能找到的資源了，也試著設定過，

但還是無法正常使用…

但問題可能可以解決了，今天經過趨勢王姓工程師說明，確定用PAT也可以將service指向內部。

有空再試試了。

先定義出內外對應的 IP

static (inside,outside) 61.62.x.x 10.10.10.2 netmask 255.255.255.255 0 0

再來就是針對 SMTP 開個 port 出去

conduit permit tcp host 61.62.x.x eq smtp any

哦~多謝ABSOLUT兄大力幫忙，有這樣的敘述就足夠了，再設不好我就該死了^^

只設SMTP信進得來,但外面的MUA還是收不到信,得把110/tcp(POP3)或143/tcp(IMAP)也打開才行....

多謝cmwang兄的提醒，依我的情況，要開的port可多了，80、20、21、53、25、110、1433、TS…

不過我想我不需要開啟143這個port，我的網路只需SMTP及DNS即可。

等設好後，我將po出詳細的步驟，因為這台在最近的軟體採購常bundle在一起，可能一買就好幾台…也可能有些人有類似的問題。

大概是SonicWall、ISA Server這類操作簡單的firewall用習慣了，Cisco這種設定較複雜的實在讓我一頭霧水…

其實CISCO設備的白痴設定法可以上零壹網站找找,很多東西都有範例可以看看,不過之前好像沒有看到PIX的部份.

這年頭,小FIREWALL用CISCO的確是比較不人性化一點,第三品牌的防火牆為了讓更多人上手,就會比較努力解決這種問題,不過我認為PIX嚴格來說還蠻耐操的,不過希望他最近的硬體可靠度還要加油一點.