|
||
|
Advance Member
  
加入日期: Jul 2003 您的住址: PCDVD
文章: 424
|
嗯~依照ABSOLUT兄的設定後,外部的信是可以收到了,但變成內部只有10.10.10.2可以上網,其他的電腦都無法上網了…
繼續試驗中… |
|||||||
2004-09-20, 07:01 PM
#11
|
|
|
Elite Member
加入日期: May 2002 您的住址: 板橋
文章: 5,112
|
引用:
Cisco的config最後一行是permit的話會變成default deny,所以你得明確的定義所有permit的狀況(including all inbound/outbound  )....
__________________
士大夫之無恥,是謂國恥  ....
|
|||
|
2004-09-20, 07:55 PM
#12
|
|
|
Advance Member
加入日期: Jul 2003 您的住址: PCDVD
文章: 424
|
因為我目前這條網路只有一個固定IP 61.62.x.x,所以目前能讓內部全部上網的設定是用PAT(port Address Translation)而不是用NAT,
只要加上這一行:static (inside,outside) 61.62.x.x 10.10.10.2 netmask 255.255.255.255 0 0 再設定ACL,雖然可以收信,但也會造成只有10.10.10.2能上網… 而依照cmwang兄所說,configuration的Access Rules最後一行會變成default deny,但我看到的圖形介面還是Permit,所以10.10.10.2還能上網… 而該ACL是內定的outbound全部ip開放成any… 總而言之,只好繼續測試… 此文章於 2004-09-20 09:02 PM 被 YCCheng 編輯. |
|
2004-09-20, 08:47 PM
#13
|
|
|
Elite Member
加入日期: May 2002 您的住址: 板橋
文章: 5,112
|
引用:
您不如把整個config貼上來吧 ....引用:
或許Cisco works正是問題所在 ....雖然鵝沒摸過PIX(鵝離開這行很久了),但以鵝管過從16xx-75xx的經驗而言那個GUI根本是玩具,只要懂TCP/IP,command不用多熟,一般的config通常只要幾分鐘就能搞定(GUI恐怕還沒這麼快),複雜的config GUI也作不出來(以上是鵝個人意見,不知現在有沒有改善就是了),更別說如firewall這類對先後次序很敏感的AP了(次序不對不是不work就是loading大增),如果您對這些東東真有興趣,最好還是忘了GUI這回事比較實在.... |
||
|
2004-09-21, 12:20 AM
#14
|
|
|
Advance Member
加入日期: Jul 2003 您的住址: PCDVD
文章: 424
|
嗯~那個GUI的PDM(PIX Device Manager),經過昨天測試的結果,的確有很多語法不支援,
而且只要直接在command Line下PDM所不支援的語法後,PDM就會直接掛掉,變成只有Command Line可以用… 真不知道Cisco設計PDM這種GUI幹嘛? 還不如直接用Console連進去比較不用受罪… 本來是想說光靠PDM就能搞定…已經是最新版的PDM 3.0了,還是只有這種程度… 想起來,這種情況好像我在兩年前用的Sun Cobalt RaQ3一樣,那個Web GUI一點用都沒有, 又慢,又沒什麼功能,最後,還是直接用Telnet連進去直接改… 大廠都是這樣嗎?…???? 此文章於 2004-09-21 08:48 AM 被 YCCheng 編輯. |
|
2004-09-21, 08:06 AM
#15
|
|
|
Advance Member
加入日期: Jul 2003 您的住址: PCDVD
文章: 424
|
看起來是解決了,完全是直接在command下語法達成的,而且在command所下的Access Rules的語法在PDM完全無法顯示…,
關鍵是在於只有一個外部IP時,在NAT的部份一定要指定redirect port才行…不然會造成只有server能上網… 現在測試的結果是寄、收信都正常,內部上網正常… 相關語法待我測試幾天後,經過整理再po上… 多謝大家幫忙,並感謝提供技術支援的趨勢科技工程師王先生^^ (因為是向趨勢買的^^) |
|
2004-09-21, 10:14 AM
#16
|
|
|
Advance Member
加入日期: Jul 2003 您的住址: PCDVD
文章: 424
|
Cisco Pix 501單一固定IP設定步驟
以PDM介面為主,因為Quick Guide上也是…
如系統上無Java VM,請先上java.sun.com下載Java VM,如WinXP就需安裝。 並將連接的內部網域電腦改為192.168.1.2或以上,submask為255.255.255.0 1、開啟IE,在網址上鍵入 https://192.168.1.1/startup.html 進入初次設定畫面。(以後都打https://192.168.1.1即可開啟PDM) 2、在一系列設定步驟後,最後勾選launch PDM即可直接開啟PDM。 3、再來就是設定Translation Rules 選上方選單中的Tool->Command Line,進入後先鍵入以下命令,再按SEND static (inside,outside) tcp 61.62.x.x smtp 192.168.1.3 smtp netmask 255.255.255.255 0 0 在這段敘述中,61.62.x.x為外部的單一固定IP,192.168.1.3為位於內部的E-Mail Server, 如果要開啟位於內部的DNS Server,請將SMTP 改為 Domain 。 4、再來設定Access Rules 一樣鍵入 access-list 1 permit tcp any host 61.62.x.x eq smtp 如要開啟ping,再加一行 access-list 1 permit icmp any any 5、大致上這樣不管內外都能順利運作,有需要開啟的port,只要依樣畫葫蘆即可。 設定後感言: 建議絕不要用PDM,有一些問題: 1、如果要將內部IP從192.168.1.1改為10.10.10.2,會告知跟DHCP的網段不同而不讓您改,很多其他的設定也是會互相牽制造成無法更改… 不過我有用PDM將內部IP成功變動過,但已經忘記怎麼做了… 2、不同的Command 敘述,在PDM上看起來是一樣的,但運作結果不同…如下兩行敘述: static (inside,outside) tcp interface pop3 192.168.1.3 pop3 netmask 255.255.255.255 0 0 static (inside,outside) tcp 61.62.134.34 pop3 192.168.1.3 pop3 netmask 255.255.255.255 0 0 且第一行的設法會造成內部無法上網…這就是PDM自行產生的語法… 3、不過,PDM除了Configuration的部份不行之外,其他的部份倒還有用,如Monitor… |
|
2004-09-21, 03:52 PM
#17
|
|
