Cisco PIX 設定



贊助商連結


jwenchin
2002-03-27, 01:22 PM
請問

PIX 預設是將對外PORT 打開 對內全關
請問如何設定 內部不能出去 如 110 或全關:confused:

贊助商連結


sunwenchi
2002-03-27, 03:33 PM
加上 access-list acl_in deny ip any any

sunwenchi
2002-03-27, 05:05 PM
補充一下
access-list acl_in permit tcp any any eq www
access-list acl_in permit tcp any any eq domain
access-list acl_in permit tcp any any eq smtp
access-list acl_in permit icmp any any
access-list acl_in permit tcp any any
如果不收信就把
access-list acl_in permit tcp any any eq smtp 刪除
而acl_in 是內部介面代號沒任何意義
這樣就不能收發信
比較建議鎖住IP 讓特定IP不能WORK比較有意義
防火牆防內部好像有點奇怪

jwenchin
2002-03-27, 08:03 PM
最初由 sunwenchi 發表
補充一下
access-list acl_in permit tcp any any eq www
access-list acl_in permit tcp any any eq domain
access-list acl_in permit tcp any any eq smtp
access-list acl_in permit icmp any any
access-list acl_in permit tcp any any
如果不收信就把
access-list acl_in permit tcp any any eq smtp 刪除
而acl_in 是內部介面代號沒任何意義
這樣就不能收發信
比較建議鎖住IP 讓特定IP不能WORK比較有意義
防火牆防內部好像有點奇怪

非常感謝你
沒啥好怪的呀
因為如果 user 收pop3 外部信箱 就會佔頻寬呀
萬一又收到中毒的那就慘了....
對了那這樣會不會影響 郵件伺服器
還是要加 access-list acl_in permit tcp host xxx.xxx.xxx.xxx any eq smtp
是不是

alphaone
2002-03-31, 05:36 PM
最初由 jwenchin 發表


非常感謝你
沒啥好怪的呀
因為如果 user 收pop3 外部信箱 就會佔頻寬呀
萬一又收到中毒的那就慘了....
對了那這樣會不會影響 郵件伺服器
還是要加 access-list acl_in permit tcp host xxx.xxx.xxx.xxx any eq smtp


這一行是讓這個特定ip的user能夠寄信出去吧?寄信對你頻寬的影響會比收信還來得大喔,請三思吧。

最後別忘記用access-group套用。

jwenchin
2002-03-31, 08:44 PM
最初由 alphaone 發表


這一行是讓這個特定ip的user能夠寄信出去吧?寄信對你頻寬的影響會比收信還來得大喔,請三思吧。

最後別忘記用access-group套用。 [/B]


謝謝大家
有問題我會在虛心領教