我有一个Windows 2003 Web服务器坐在思科Pix 515防火墙后面。 HTTP访问是好的,但我不能使FTP访问工作。 我正在尝试的configuration: fixup protocol ftp 20 static (inside,outside) <external-IP> <internal-IP> netmask 255.255.255.255 0 0 conduit permit tcp host <external-IP> eq www any conduit permit tcp host <external-IP> eq ftp-data any conduit permit tcp host <external-IP> eq ftp any 我也试过“fixup protocol ftp 21”和“no fixup protocol 20”; 因为他们没有工作,我删除了他们。 它连接成功,我input我的用户名和密码就好了。 当我尝试任何命令我得到: C:\>ftp <server-name> Connected […]
我们有一个Cisco PIX 515防火墙,我想build立一个简单的日志logging,通过以下方式为我们提供一个stream量细目: 资源 目的地 协议 港口 尺寸 时间 PIX被插入到Catalyst 2970中,我被告知从切片面包开始logging的最好的事情是获得Netflow并获得Catalyst日志。 然而,我担心的是(除了Netflow的成本),我真的不想“听”内部的噪音,我所感兴趣的是上面的计费和分析目的的外部stream量统计。 什么是最简单和最简单的解决scheme? 干杯 乔治
我有一个cisco pix 515作为一些Web服务器的防火墙。 我想要做的就是自动将禁止的IPS添加到防火墙,以阻止networking级别的stream量。 目前,我有一个软件挂在networking服务器软件上,监视重复login失败,洪水或任何可疑的活动。 缺less的一块是阻止ip被禁止时的stream量。 我认为最好的解决scheme是dynamic地将ip添加到Web服务器前面的PIX的ACL中。 是否可以通过SNMP或通过任何其他方式来做到这一点? Web服务器都运行UNIX。 谢谢。
我已经为我的家庭networking(2台笔记本电脑和宽带电缆调制解调器)购买了PIX 501路由器。 我正在尝试configuration它。 我可以通过控制台和超级terminal连接到PIX。 我使用了初始设置程序。 但是我无法通过以太网从笔记本电脑连接到PIX。 “Inside”接口的IP地址是10.1.1.1,255.255.255.0 我通过不是交叉的以太网电缆将PIX防火墙的端口1连接到笔记本电脑。 我试着ping 10.1.1.1。 从笔记本电脑,但它失败了。 IP地址自动获取失败 如果我将静态IP地址分配给笔记本电脑(10.2.2.100 255.255.255.255),也会失败。 我想用networking界面( https://192.168.1.20 )连接到PIX,但是失败。 configuration中是否缺less任何东西? 当前configuration如下。 PIX Version 6.3(3) interface ethernet0 auto shutdown interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password laYDkT.MQTk8cQfX encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall domain-name MSHOME1 fixup protocol dns maximum-length 512 fixup protocol […]
Cisco PIX 515e可以通过IPSEC隧道传输SCTPstream量吗? 我知道PIX不支持SCTP连接,但是SCTP仍然是IP,因此我希望PIX能够通过IPSEC隧道路由SCTP。 另外如何指定访问列表的encryption域,将“ip”作为协议捕获SCTPstream量,或者我应该明确指定协议号的SCTP?
我有两个互联网可访问的/ 24个子网,可以说11.22.33.0/24和44.55.66.0/24,我想通过PIX 506E后面的私有10.0.0.0/24子网传递给服务器 例如对11.22.33.99和44.55.66.99的请求要么发送到10.0.0.99,要么发送到10.0.0.99,另一个发送到10.0.0.98(不需要在内部全部使用254个IP,可以重新configuration为10.0。如果这个变化,将来是0.0 / 23)。 11.22.33.99/24子网已经configuration好了,但是我无法让PIX对44.55.66.99/24地址做任何事情。 configuration如下。 INTERFACES 名称/ ip / vlan /硬件 在10.0.0.4/24 native eth1里面 外部11.22.33.4/24原生eth0 outside2 44.55.66.4/24 vlan1 eth0 翻译规则 里面10.0.0.99/32>静态11.22.33.99/32 里面10.0.0.99/32>静态44.55.66.99/32 静态路线 外部0.0.0.0/0 11.22.33.1 访问规则允许44.55.66.0/24上的所有ip和icmpstream量(稍后将locking这些stream量) 任何build议,我应该在哪里看,或者我需要提供更多信息? 谢谢。
我知道cisco pix 515是一个老的EOL设备,但是有谁知道它是否支持IPv6或完全不可能?
思科newb问题在这里。 我公司目前在我们的可乐站有一个PIX和一个VPN集中器。 我们购买重复设备以实现冗余。 我需要从正在运行的设备复制configuration并将它们打到新的重复设备上。 我该怎么做呢?
我们的办公室目前使用过时的Pix 501来允许VPN连接。 我们可以select升级到ASA,但是我想知道Pix是否知道可以与Mac一起使用? 我们最近设置了一个Xserve存储arrays,需要人们远程访问。 另一种方法是在Xserve上设置VPN,但我们没有任何额外的公共IP可用。 切换运行的端口会有问题吗?
我在一个需要移动的网站前面有一个老化(古老的)PIX,为了做到这一点,我需要准备好从PIX中删除为该站点服务的IP,以便主交换机进一步我们的networking不会发送到错误的机器。 据我所知,这些IP都被设置为静态路由,这些静态路由被NAT转换为服务于PIX后面的特定站点和服务器的IP(例如,在公共IP 100.100.100.7上的站点被认为是192.168.0.46 。 据我可以看到forms的文档,我应该删除静态路由。 之后我也读到了运行“clear xlate” – 但我不确定这是干嘛的。 最终的目标是确保我不会在两个地方广播一个IP(没有VLAN不到位/目前还不是一个选项,尽pipe我希望它们是)。 IP地址匿名化的真实例子: 这是'show static'的输出 static (inside,outside) 100.100.100.7 192.168.0.46 netmask 255.255.255.255 0 0 static (inside,outside) 100.100.100.6 192.168.0.47 netmask 255.255.255.255 0 0 static (inside,outside) 100.100.100.4 192.168.0.48 netmask 255.255.255.255 0 0 static (inside,outside) 100.100.100.3 192.168.0.49 netmask 255.255.255.255 0 0 static (inside,outside) 100.100.100.1 192.168.0.201 netmask 255.255.255.255 0 0 static (inside,outside) […]