自己第一次出差,就第一次遇到独立安装硬件防火墙,折腾了一天,才搞定……
汗cisio的设备……居然默认不支持FTP服务上传,还是物理上隔离!!
好了,趁热打铁总结一下,趁着还有自己还有成就感(大哥们别踩我……)
防火墙部件包括:
蓝色控制线一条和串口一个:控制线一头接防火墙CONSOLE端,一头连接串口,串口插电脑。
橙色交叉线一条:一头接防火墙0接口,一头接进来的光纤(机顶盒)。
黄色直通线一条:一头连接防火墙1接口,一头接交换机。
1、 由开始-程序-附件-通讯-超级终端,出现“连接描述”框,名称输入空格,“图标”默认第一个,单击确定。
2、 出现“连接到”对话框,按要求填写,其中“电话”项不填,“连接时使用”属性选择COM1,单击确定。(如果出现的不是“连接到”对话框则在出现的对话框中选择“否”,然后在下一新对话框中选“console1”,最后再在出现的第三个对话框中选“恢复默认”)
3、 出现“COM1属性”对话框,直接单击“还原为默认属性”,然后点击确定。
4、 此时将出现“超级终端”界面,稍等片刻后,打回车会有输入指令的提示pixfirewall>
5、 相应的输入数据如下:
pixfirewall>en
password:
pixfirewall # conf t
pixfirewall<config># hostname small 设置主机名称(这是我设定的)
设置后变为了:
small<config># enable password ××××××× 设置密码(也是我设的)
small<config># write me
然后敲入“show run”
pix# show run
下面,红色的字代表需要自己输入和修改一些参数的,蓝色表示会自动输出的数据
PIX Version 6.3(5)
interface ethernet0 auto 原来为off
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100 定义防火墙的1、0接口,它们分别表示输入输出的接口,防火墙的1端口接内网switch,0端口接电信网
enable password JxiK8b12wS4vIMBy encrypted
passwd JxiK8b12wS4vIMBy encrypted
hostname pix
domain-name rtp.cisco.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names 以下一定要输入,其中有电信给的三个参数:IP、gateway、subnet mask
access-list 101 permit ip 192.168.1.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list 110 permit ip any any
access-list 110 permit icmp any any
ip address outside 218.88.187.47 255.255.255.0 前为由电信给的IP地址,后为子网掩码
ip address inside 192.168.1.1 255.255.255.0
ip local pool pool1 192.168.1.100-192.168.1.110 可用的地址池,共10个,其中pool1是地址池的名字
pdm history enable
global (outside) 1 interface
nat (inside) 1 0.0.0 .0 0.0.0.0 0 0
access-group 110 in interface outside
access-group 110 in interface inside
route outside 0.0.0 .0 0.0.0.0 218.88.187.1 1 218.88.187.1为电信网关
http server enable
http 192.168.1.0 255.255.255.0 inside
以下开始配置防火墙允许FTP上传服务:
small<config># fixup protocol ftp 20
small<config># static (inside,outside) tcp 218.88.187.47 20 192.168.1.101 20 netmask 255.255.255.255 0 0
small<config># static (inside,outside) tcp 218.88.187.47 21 192.168.1.101 21 netmask 255.255.255.255 0 0
small<config># conduit permit tcp host 218.88.187.47 eq ftp any
small<config># conduit permit tcp host 218.88.187.47 eq ftp-data any
small<config># write me
此前所有命令均在small<config>#模式下进行的
然后所有命令都敲完后,进行退出
small<config># exit
small# exit
此时会出现:
Logoff
Type help or '?' for a list of available commands.
small>
到底就差不多完成了
其中配FTP上传服务折腾了我一白天…………
一开始一直在用DMZ停火区来配置,后来突然发现原来PIX501不支持DMZ……
只能用static和conduit,但是使用管道之后上传速度会变慢,没办法了