Cisco PIX 設定

[jwenchin]

請問

PIX 預設是將對外PORT 打開 對內全關
請問如何設定 內部不能出去 如 110 或全關

[sunwenchi]

加上 access-list acl_in deny ip any any

[sunwenchi]

補充一下
access-list acl_in permit tcp any any eq www
access-list acl_in permit tcp any any eq domain
access-list acl_in permit tcp any any eq smtp
access-list acl_in permit icmp any any
access-list acl_in permit tcp any any
如果不收信就把
access-list acl_in permit tcp any any eq smtp 刪除
而acl_in 是內部介面代號沒任何意義
這樣就不能收發信
比較建議鎖住IP 讓特定IP不能WORK比較有意義
防火牆防內部好像有點奇怪

[jwenchin]

最初由 sunwenchi 發表
補充一下
access-list acl_in permit tcp any any eq www
access-list acl_in permit tcp any any eq domain
access-list acl_in permit tcp any any eq smtp
access-list acl_in permit icmp any any
access-list acl_in permit tcp any any
如果不收信就把
access-list acl_in permit tcp any any eq smtp 刪除
而acl_in 是內部介面代號沒任何意義
這樣就不能收發信
比較建議鎖住IP 讓特定IP不能WORK比較有意義
防火牆防內部好像有點奇怪

非常感謝你
沒啥好怪的呀
因為如果 user 收pop3 外部信箱 就會佔頻寬呀
萬一又收到中毒的那就慘了....
對了那這樣會不會影響 郵件伺服器
還是要加 access-list acl_in permit tcp host xxx.xxx.xxx.xxx any eq smtp
是不是

[alphaone]

最初由 jwenchin 發表


非常感謝你
沒啥好怪的呀
因為如果 user 收pop3 外部信箱 就會佔頻寬呀
萬一又收到中毒的那就慘了....
對了那這樣會不會影響 郵件伺服器
還是要加 access-list acl_in permit tcp host xxx.xxx.xxx.xxx any eq smtp

這一行是讓這個特定ip的user能夠寄信出去吧？寄信對你頻寬的影響會比收信還來得大喔，請三思吧。

最後別忘記用access-group套用。

[jwenchin]

最初由 alphaone 發表


這一行是讓這個特定ip的user能夠寄信出去吧？寄信對你頻寬的影響會比收信還來得大喔，請三思吧。

最後別忘記用access-group套用。 [/B]

謝謝大家
有問題我會在虛心領教