CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg

Log ind eller opret profil

Du kan også logge ind via nedenstående tjenester

_et Praktikant

25. september 2005 - 11:24 Der er 10 kommentarer og
2 løsninger

PIX 501 - Tillad kun udgående smtp til 193.162.195.95

Jeg er nystartet, og ønsker derfor lige lidt assistance for at sikre at det er rigtigt det jeg laver.

Jeg skal som skrevet, have lavet en regl i PIX, der kun tillader udgående smtp trafik til denne ene ip, og ingen indgående. Det skal være via CLI

Synes godt om

_et Praktikant

25. september 2005 - 11:29 #1

Det skulle vel ikke være sådan :

access−list outside permit tcp any host 193.162.195.95 eq smtp

Synes godt om

_et Praktikant

25. september 2005 - 11:37 #2

access−list outside_int permit tcp any host 209.165.200.227 eq smtp

Synes godt om

_et Praktikant

25. september 2005 - 11:37 #3

access-list outside_int permit tcp any host 209.165.200.227 eq smtp

Synes godt om

_et Praktikant

25. september 2005 - 12:18 #4

Jeg mener selvfyldig :
access-list outside_int permit tcp any host 193.162.195.95 eq smtp

Synes godt om

rubeck Nybegynder

26. september 2005 - 14:49 #5

Ønsker du at alt andet outgoing tillades, men SMTP outgoing må kun være imod server 193.162.195.95?

Hvis ja, så er det vel sådan her:

access-list Inside-out permit tcp any host 193.162.195.95 eq smtp
---- tillader SMTP traffik til 193.162.195.95 outgoing

access-list Inside-out deny tcp any any eq smtp
---- blokker alt andet SMTP traffik outgoing

access-list Inside-out permit ip any any
---- Tillader alt andet outgoing

access-group Inside-out in interface inside
------- binder access -list til inside interface

Håber det giver hint..

Mvh

Rubeck

Synes godt om

_et Praktikant

26. september 2005 - 18:38 #6

Det er fint.

Hvis man laver flere access-list, har rækkefølgen så en betydning?
Altså hvis byttede om på de 2 første access-list's - ville det give samme effekt ?

Hvis du lige laver en der også tillader www indgående, er du en helt og så hæver jeg point til 100

Synes godt om

_et Praktikant

26. september 2005 - 20:39 #7

Hvis du lige laver en forward af outside www forspørgelser til x.x.x.x:80 inside
giver jeg 200point.

Hvis du ikke gider mere, er det også ok, bare skriv ok og jeg lukker

Synes godt om

rubeck Nybegynder

27. september 2005 - 09:29 #8

Hejsa...

Ja, reækkefølgen har betydning... :-) Hvis du byttede de 2 første liner rundt, så vile alt SMPT bliver blokket. ACLs bliver læst top- down, og da første match er deny, vel det stoppe her. :-)

WWW incomming? Ok du skal først lave et statisk NAT el. PAT mapning.... Hvis du vil have web serveren til at have samme offentlige ip adresse som din PIX kan det evt se sådan ud:

static (inside,outside) tcp interface www <intern IP adresse> www netmask 255.255.255.255

Hertil skal også laves en ACL:

access-list Outside-In permit tcp any host 193.162.195.95 eq smtp

Synes godt om

rubeck Nybegynder

27. september 2005 - 09:33 #9

Pladder jeg skriver... KOm til at trykke send.. :-) GLEM ACL'en

access-list Outside-In permit tcp any host <yderside adresse på PIX> eq www >Tillader www request imod din web server.

access-list Outside-In permit icmp any any echo-reply - søger liger for du kan pinge ud efter du binder ACL'en

Bind ACL'en til yderside..

access-group Outside-In in interface inside in

Mvh

Rubeck

Synes godt om

rubeck Nybegynder

27. september 2005 - 09:34 #10

Hmm-.... stadig ikke helt vågen... Den sidste linie skulle være.

access-group Outside-In in interface outside in

Synes godt om

_et Praktikant

27. september 2005 - 09:51 #11

Takker - Jeg kigger lige på det i eftermiddag.

Det er altså sådan her.:
static (inside,outside) tcp interface www <intern IP adresse> www netmask 255.255.255.255
access-list Outside-In permit tcp any host <yderside adresse på PIX> eq www
access-list Outside-In permit icmp any any echo-reply
access-group Outside-In in interface outside in

Synes godt om

rubeck Nybegynder

27. september 2005 - 10:30 #12

Lige netop....

Bortset fra jeg stadig er en smule stiv :-)

Denne her "access-group Outside-In in interface outside in" skal være sådanne istedet "access-group Outside-In in interface outside" (Dvs ingen in til sidst)

MVh

Rubeck

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Firewalls kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Fejlmeddelse i Easy Firewall Af cyperbent i Firewalls	22	21/01/202418:54	08/03/202415:31
Abelssoft EasyFirewall Af valby i Firewalls	9	12/10/202319:21	13/10/202319:17
Firewals og antivirus med videre Af mogens8000 i Firewalls	4	24/06/202213:54	24/06/202215:30
Din internetadgang er blokeret Af sigyn i Firewalls	1	04/01/202218:04	04/01/202220:25
Den afsatte tid til at gennemføre dit køb, er desværre udløbet. Men dit produkt er sandsynligvis stadig tilgængeligt i sortimentet. Forsøg gerne igen" Af gh0stry i Firewalls	3	25/09/202114:52	25/09/202120:39

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS