PIX 的端口映射可以在指令行底下達成, 如:

access-list 101 permit tcp any interface outside eq 5190
access-list 101 permit udp any interface outside eq 5298
access-group 101 in interface outside
static (inside,outside) tcp interface 5190 10.1.1.22 5190 netmask 255.255.255.255 0 0
static (inside,outside) udp interface 5298 10.1.1.22 5298 netmask 255.255.255.255 0 0
(將外面的 tcp 5190 udp 5298 對應到 10.1.1.22 的 tcp 5190 與 udp 5298)

但是像這種比較複雜的 access list 要怎麼寫: (configuration B)
http://docs.info.apple.com/article.html?artnum=93208

我遇到的問題是當我一行一行做映射時, pix 回報 port 16384-16403 是 global port, 而不讓我做映射. 請問有用指令行的方式達成嗎? 亦或是需要特別的設定?

====== 設定部份 ======
pix 基本設定:
outside: cable/DHCP
inside:
10.1.1.1/24
DHCP: off
DNS: manual

client 端:
需要至少一台電腦, (10.1.1.22)可以對應 configuration B 的端口
(最終希望一個 group, 如叫 mac 的 group 裡面的電腦都可以對應 configuration B 的端口)

===== configuratinon B ========
Outgoing Packets

- Internal Source Port 5060, 5190, 5220, 5222, 5297, 5298, 5353, 16384-16403

- External Destination Port
5060, 5190, 5297, 5298, 5353, 5678 16384-16403

Incoming Packets
- External Source Port
5060, 5190, 5220, 5222, 5297, 5298, 5353, 5678 16384-16403
- Internal Destination Port
5060, 5190, 5297, 5298, 5353, 16384-16403

===== 嘗試搜尋答案 =======
我搜尋到下面三篇文章:
http://pczone.com.tw/showthread.php?...&highlight=pix

http://pczone.com.tw/showthread.php?...&highlight=pix

http://pczone.com.tw/showthread.php?...light=pix+port

Google 上有我只有找到之前敘述簡單端口對應的方法

在此先謝謝回覆的大大.

PoJen