配置cisio pix501防火墙

 自己第一次出差，就第一次遇到独立安装硬件防火墙，折腾了一天，才搞定……

汗cisio的设备……居然默认不支持FTP服务上传，还是物理上隔离！！

好了，趁热打铁总结一下，趁着还有自己还有成就感（大哥们别踩我……）

防火墙部件包括：           

蓝色控制线一条和串口一个：控制线一头接防火墙CONSOLE端，一头连接串口，串口插电脑。

橙色交叉线一条：一头接防火墙0接口，一头接进来的光纤（机顶盒）。

黄色直通线一条：一头连接防火墙1接口，一头接交换机。

 

 

1、  由开始－程序－附件－通讯－超级终端，出现“连接描述”框，名称输入空格，“图标”默认第一个，单击确定。

2、  出现“连接到”对话框，按要求填写，其中“电话”项不填，“连接时使用”属性选择COM1，单击确定。（如果出现的不是“连接到”对话框则在出现的对话框中选择“否”，然后在下一新对话框中选“console1”，最后再在出现的第三个对话框中选“恢复默认”）

3、  出现“COM1属性”对话框，直接单击“还原为默认属性”，然后点击确定。

4、  此时将出现“超级终端”界面，稍等片刻后，打回车会有输入指令的提示pixfirewall>

5、  相应的输入数据如下：

pixfirewall>en

password:

pixfirewall # conf t

pixfirewall<config># hostname small 设置主机名称（这是我设定的）

设置后变为了：

small<config># enable password ××××××× 设置密码（也是我设的）

small<config># write me

 

然后敲入“show run”

pix# show run

 

下面，红色的字代表需要自己输入和修改一些参数的，蓝色表示会自动输出的数据

 

PIX Version 6.3(5)

interface ethernet0 auto 原来为off

interface ethernet1 100full

nameif ethernet0 outside security0

nameif ethernet1 inside security100  定义防火墙的1、0接口，它们分别表示输入输出的接口，防火墙的1端口接内网switch，0端口接电信网

enable password JxiK8b12wS4vIMBy encrypted

passwd JxiK8b12wS4vIMBy encrypted

hostname pix

domain-name rtp.cisco.com

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

 

names         以下一定要输入，其中有电信给的三个参数：IP、gateway、subnet mask

access-list 101 permit ip 192.168.1.0 255.255.255.0 192.168.1.0 255.255.255.0

access-list 110 permit ip any any

access-list 110 permit icmp any any

 

ip address outside 218.88.187.47 255.255.255.0  前为由电信给的IP地址，后为子网掩码

ip address inside 192.168.1.1 255.255.255.0

 

ip local pool pool1 192.168.1.100-192.168.1.110 可用的地址池，共10个，其中pool1是地址池的名字

pdm history enable

global  (outside)  1  interface

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

access-group 110 in interface outside

access-group 110 in interface inside

route outside 0.0.0.0  0.0.0.0  218.88.187.1  1  218.88.187.1为电信网关

http server enable

http 192.168.1.0 255.255.255.0 inside

 

以下开始配置防火墙允许FTP上传服务：

small<config># fixup protocol ftp 20

small<config># static (inside,outside) tcp 218.88.187.47 20 192.168.1.101 20 netmask 255.255.255.255 0 0

small<config># static (inside,outside) tcp 218.88.187.47 21 192.168.1.101 21 netmask 255.255.255.255 0 0

small<config># conduit permit tcp host 218.88.187.47 eq ftp any

small<config># conduit permit tcp host 218.88.187.47 eq ftp-data any

small<config># write me

 

此前所有命令均在small<config>#模式下进行的

然后所有命令都敲完后，进行退出

small<config># exit

small# exit

此时会出现：

Logoff

 

Type help or '?' for a list of available commands.

small>

到底就差不多完成了

其中配FTP上传服务折腾了我一白天…………

一开始一直在用DMZ停火区来配置，后来突然发现原来PIX501不支持DMZ……

只能用static和conduit，但是使用管道之后上传速度会变慢，没办法了