Access-list

Eks.
access-list IntOutside permit tcp any host xxx.xxx.xxx.xxx eq ftp
access-group IntOutside in interface outside

xxx.xxx.xxx.xxx = NAT'et Public IP

/Rubeck

Tak for det. Er der så lukket for alt andet?

En rigitgt Firewall lukker ikke noget ind medmindre at man definerer præcist hvad.

Selv ping lukkes. Dvs. du heller ikke kan pinge ud, da et echo- reply forsøger at komme tilbage ind.
Den ved dog at ved TCP sessioner etableret inde fra,kommer der TCP traffic retur og derfor tillades dette. Du kan måske lige tillade ICMP replys, da det jo er rart at kunne pinge ud. Gøres ved:

access-list IntOutside permit icmp any any eq echo-reply

/Rubeck

Aha, kan jeg så ikke deny alt andet via en kommando, således at når den har læst alt det der er permitted, så tager den til slut alt hvad der er denied?

Det gør den per default.... Disse 2 exempler er det samme: (Tager din FTP, som exsempel)

Eks.1
access-list IntOutside permit tcp any host xxx.xxx.xxx.xxx eq ftp

Eks.2
access-list IntOutside permit tcp any host xxx.xxx.xxx.xxx eq ftp
access-list IntOutside deny ip any any

PIX læser access-lister TOP > DOWN.

/Rubeck

For at få det til at virke helt skal du også lave en static, eller også kaldet PAT dvs oversætte yderside ip adr. på pix'en til din ftp servers internet ip adr. hvis der kommer FTP trafik, det gøres på følgnde måde:

static (inside,outside) tcp interface ftp "server ip adr" ftp

Du kan evt. erstatte interface med en ip adr. hvis din ftp server har en anden officiel ip adr. end den din pix har på ydersiden.

ellers skulle det virke samme med den access liste som rubeck har beskrevet.

lukker du ikke sp'et