pix、asa分解實驗5卷防火墻的問題集錦_第1頁
pix、asa分解實驗5卷防火墻的問題集錦_第2頁
pix、asa分解實驗5卷防火墻的問題集錦_第3頁
pix、asa分解實驗5卷防火墻的問題集錦_第4頁
pix、asa分解實驗5卷防火墻的問題集錦_第5頁
已閱讀5頁,還剩10頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、Cisco PIX用戶net至PIX的outside?集錦如何允許補充一下Licensed Features:-DES: Enabled-3DES: Disabled用SSH就可以。net不可以!對inside 倒dmz的,需要做nat配 置,對于dmz到inside的,需要做sic 與acs-list的配置。PIX 515E連接ADSL 路由MODEM!想知道 E0 口上怎么配置與開啟路由的 MODEM 的連接。讓內網所有用戶可以都通過這個MODEM 上網。ADSL MODEM IP:pixfirwall(config)#vpdn group request dialout pppoepix

2、firwall(config)#vpdn group ppp auth PAP/CHAP/MSCHAPpixfirwall(config)#vpdn group localname pixfirwall(config)#vpdn username password pixfirwall(config)#ip add pppoe通過在 pix 515e 上進行設置使某些內網用戶只能上一個特定的當前配置如下:PIX Ver6.3(3)erface ethernet0 autoerface ethernet1 autonameif ethernet0 outside security0nameif

3、ethernet1 inside security100hostnamxfirewallfixup protocol dnsum-length 512fixup protocol ftp 21fixup protocol h323 h225 1720fixup protocol h323 ras 1718-1719fixup protocol http 80fixup protocol rsh 514fixup protocol rtsp 554fixup protocol sip 5060fixup protocol sip udp 5060fixup protocol skinny 200

4、0fixup protocol smtp 25fixup protocol sqlnet 1521fixup protocol tftp 69namespager lines 24mtu outside 1500mtu inside 1500ip address outside 2 52ip address inside 53 ip audit info action alarmip auditack action alarmpdm history enablearp timeout 14400global (outside) 3erfacenat (inside) 3 55 0 0nat (

5、inside) 3 55 0 0nat (inside) 3 1 55 0 0nat (inside) 3 2 55 0 0nat (inside) 3 13 55 0 0nat (inside) 3 61 55 0 0nat (inside) 3 62 55 0 0nat (inside) 3 65 55 0 0nat (inside) 3 40 55 0 0nat (inside) 3 40 48 0 0nat (inside) 3 40 40 0 0route outside 1 1route inside 54 1timeout xlate 3:00:00timeoonn 1:00:0

6、0 half-closed 0:10:00 udp 0:02:00 rpc0:10:00 h225 1:00:00timeout h323 0:05:000:05:00 sip 0:30:00 sip_media0:02:00timeout uauth 0:05:00 absoluteaaa-server TACACS+ protocol tacacs+aaa-server RADIUS protocol radiusaaa-server LOCAL protocol localno snmp-server locationno snmp-server contactsnmp-server c

7、ommunity publicno snmp-server enable trapsfloodguard enablenet timeout 5ssh timeout 5console timeout 0terminal width 80Cryptochecksum:72a261056ba18f4dbefab375fb871688: end是的,可以將針對這些主機的限制策略放在 acl 的最上端,應用在 inside 口的 in 的方向上。你可以用支持時間的 acl 來做,也可以用 tacacs 來驗證用戶,定義 downloaded acl請教 pix515 acl 如何一個網段?deny

8、ip host 61.129.64.* any61.129.64.*這樣的網段該咋樣?juechen70 (版主)deny ip csco10334975 (普通用戶)deny ip anymythis (普通用戶)acs-list 100 deny ip anypix上啟用了DHCP,不允許內網自動獲取只允許DMZ自動獲如何做。dhcpd address -54 dmzdhcpd enable dmzdhcpd dns 0 8這樣就可以了!pix7.0 如何在 routed 和 transparent 兩種方式中切換?pix 515e 升級到 pix7.01使用 transparent 模式

9、,請大家教如何做了?firewall transparentno firewall transparent在 515E 中配置 DHCP 網關令是什么dhcpd enable insidepix 能不能實現(xiàn) dmz 和 inside 透明模式呢?有客戶想把服務器搬到dmz區(qū),但是服務器地址不變,這樣除了透明模式我還想不到其他辦法,inside和outside的透明模式我知道,但是inside 和 dmz 的透明模式怎么辦?地址必須改變。透明橋模式下是沒有 DMZ 概念的。地址不變也可以.做地址的時候翻譯相同的地址就行了. 但是想搬到 dmz 區(qū)的機器和 inside區(qū)的機器是同一網段的服務器和

10、用戶都是用一網段的,不改變地址怎么搞?如何配置 PIX 透明模式?首先,需要升級 pix os 到 7.0.1直接輸入 firewall transparent 命令就可以讓 PIX 工作在透明模式下面。 工作在透明模式下時,pix 相當于一條網線,故障切換由其它的三層設備完成。的策略一般多是和端口對應的,做在透明模式時怎樣內網HTTI.HTTPS.PPTP,TCP/UDP-5060/1270有一點,透明模式下必須設置管理地址才會通有所變化,以前用雙機作,pix os版本好像是就不支持透明模式看來透明模式的應用還是挺多的,可以做網絡分區(qū)之間的安全,最重要的是可以讓動態(tài)路由協(xié)議穿過如何看用命令看

11、這兩臺 PIX 支持的最大連接數(shù)(不是使用中的最大連接數(shù),而是 license 所限制的最大連接數(shù))show ver.不通 515E 的 outside 地址?為什么PIX 的版本是 6.3(4),設置了 515E 的 outside 地址和 inside 地址后,用網線將筆記本和 515E的 outside 端口聯(lián)起來,本本的地址和 outside 地址在一個網段內,但總是不通outside 地址,但同樣的配置在 6.2 版本的 515E 上使用時是沒有問題的,好奇怪啊?icmp pemit any outside=pix設置好了,DDN方式可以上,為什么家里的adsl?配置如下:pix52

12、0PIX Ver6.3(3)erface ethernet0 100fullerface ethernet1 100fullerface ethernet2 100fullnameif ethernet0 Outside security0nameif ethernet1 inside security100nameif ethernet2 Outside-DMZ security50enable password GyBjREM5Y/fIjrzB encryptedpasswd enO4Olec9w1AmAwd encryptedhostnamX-yinhetech-nameclock ti

13、mezone CST 8fixup protocol dnsum-length 512fixup protocol ftp 21fixup protocol ftp 2121fixup protocol h323 h225 1720fixup protocol h323 ras 1718-1719fixup protocol http 80fixup protocol rsh 514fixup protocol rtsp 554fixup protocol sip 5060fixup protocol sip udp 5060no fixup protocol skinny 2000fixup

14、 protocol smtp 25fixup protocol sqlnet 1521fixup protocol tftp 69namesname notebookpoolIPacs-list nonat permit ip notebookpoolIP acs-list 101 permit ip anyacs-list notebookpc_splitTunnelAcl permit ip anyacs-list notebookpc_splitTunnelAcl permit ip notebookpoolIP anyacs-list notebookpc_splitTunnelAcl

15、 permit ip host 1 anyacs-list Outside_cryptomap_dyn_20 permit ip any notebookpoolIP acs-list Outside_cryptomap_dyn_20 permit ip notebookpoolIP anypager lines 24logging onlogging standbylogging buffered debugginglogging trap notificationsicmp deny any Outsidemtu Outside 1500mtu inside 1500mtu Outside

16、-DMZ 1500ip address Outside *.*.*.* 40ip address inside 53 ip address Outside-DMZ 54 ip verify reverse-patherface Outsideip verify reverse-patherface insideip audit info action alarmip auditack action alarmip local pool notebookpool -50no failoverfailover timeout 0:00:00failovoll 15no failover ip ad

17、dress Outsideno failover ip address insideno failover ip address Outside-DMZpdm history enablearp timeout 14400global (Outside) 1 *.*.*.* netmask 40global (Outside-DMZ) 1 00-50 netmask nat (inside) 0 acs-list nonatnat (inside) 1 0 0acs-group 101 inerface insideroute Outside *.*.*.* 1route inside 54

18、1timeout xlate 3:00:00timeoonn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00timeout h323 0:05:000:05:00 sip 0:30:00 sip_media 0:02:00timeout uauth 0:05:00 absoluteaaa-server TACACS+ protocol tacacs+aaa-server RADIUS protocol radiusaaa-server LOCAL protocol localhttp server enableh

19、ttp 4 55 insidehttp 8 55 insidesnmp-server host inside 0snmp-server host inside 4snmp-server location soft_yuan_ernetsnmp-server contact billsnmp-server community publicsnmp-server enable trapstftp-server inside 4 /no floodguard enablesysopt connection permit-ipseccrypto ipsec transform-set ESP-DES-

20、MD5 esp-des esp-md5-hmaccrypto dynamic-map Outside_dyn_map 20 match address Outside_cryptomap_dyn_20crypto dynamic-map Outside_dyn_map 20 set transform-set ESP-DES-MD5crypto map Outside_map 65535 ipsec-isakmp dynamic Outside_dyn_mapcrypto map Outside_maperface Outsideisakmp enable Outsideisakmentity

21、 addressisakmp keepalive 60 5isakmp nat-traversal 120isakmp policy 20 authentication pre-shareisakmp policy 20 encryption desisakmp policy 20 hash md5isakmp policy 20 group 2isakmp policy 20 lifetime 86400group notebookpc address-pool notebookpoolgroup notebookpc dns-server 8 8group notebookpc defau

22、omaingroup notebookpc split-tunnel notebookpc_splitTunnelAclgroup notebookpc idle-time 1800group notebookpc password *net insidenet 10 55 insidenet 10 55 Outside-DMZnet timeout 31ssh timeout 5console timeout 0terminal width 80Cryptochecksum:826ec1728f5df3bb3ecf0542790a4d35surf_qj (普通用戶)對了,是使用cisco s

23、ystemCnt 4.01 登錄的,家里adsl可以連上,但是不能,DDN就可以其實,不光是PIX問題,我用 2620 做的和你的也一樣,用一般的ADSL是的,但如果是用帶路由功能ADSL就可以。isakmp nat-traversal 120還有客戶端 NAT 打開,估計是 NAT吧。=pix515具體現(xiàn)象是,DMZ和inside各接一臺單機,DMZ的單機能用上網,其他不能,inside的機器什么都干不了。單機保證無問題。請各位幫忙看看配置吧。 outside的地址和global的地址不同,有影響么?(沒有空閑的連續(xù)地址了,只能用兩個不同地址表示一下)PIX Ver6.2(2)nameif

24、ethernet0 outside security0nameif ethernet1 inside security100nameif ethernet2 dmz security50enable password O53fPNRgHkA6IEsY encryptedpasswd TWjtI1emvjruV4SY encryptedhostname jygatewall-name fixup protocol ftp 21fixup protocol http 80fixup protocol h323 h225 1720fixup protocol h323 ras 1718-1719fi

25、xup protocol ils 389fixup protocol rsh 514fixup protocol rtsp 554fixup protocol sqlnet 1521fixup protocol sip 5060no fixup protocol skinny 2000no fixup protocol smtp 25namesacs-list dmz_jygate_acl deny icmp any anyacs-list dmz_jygate_acl permit udp any any eqacs-list dmz_jygate_acl permit tcp any an

26、y eq wwwacs-list dmz_jygate_acl permit udp any any eq 20acs-list dmz_jygate_acl permit tcp any host eq 20817acs-list dmz_jygate_acl permit tcp any host eq 20820acs-list dmz_jygate_acl permit tcp any host eq 8080acs-list dmz_jygate_acl permit tcp any host eq 8383acs-list dmz_jygate_acl per

27、mit tcp any host eq 32002pager lines 24erface ethernet0 100fullerface ethernet1 100fullerface ethernet2 100fullmtu outside 1500mtu inside 1500mtu dmz 1500ip address outside 24ip address inside ip address dmz ip audit info action alarmip auditack action alarmno failoverfailover timeout 0:00:00failovoll 15failover ip address outside failover ip address inside failover ip address dmz pdm history enablearp timeout 14400global (outside) 1 nat (inside) 1 0 0sic (dmz,outside) 01 netmask 55 0 0sic (inside,dmz) netmask 0 0

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論