...habs gesehen:
also von innen nach aussen ist generell (bis auf ping, was wohl dein problem ist) alles erlaubt ==> default.
ich denke wenn du ping explizit erlaubst kannst du auch pingen.
wenn du von i nach a was verbieten willst musst du 4 protokoll gruppen
udp, tcp, icmp, ip auf deny setzen und davor explizit die einzelnen ports
erlauben. du muss nicht aus der liste auswählen, du kannst jede erlaubte
port nummer eingeben. die 4 denys muessen auf jeden fall am ende der
access rules sstehen und die erste rule (implicit outbound rule) darfst nicht
angreifen.
bsp.:
access-list inside_access_in permit tcp any any eq 443
access-list inside_access_in permit udp any any eq domain
access-list inside_access_in permit tcp host ####### any eq www
access-list inside_access_in permit tcp host ##### any eq www
access-list inside_access_in permit tcp host ####### any eq www
access-list inside_access_in permit tcp host ####### host ######### eq 3048
access-list inside_access_in permit tcp host ##### host ###### eq 3048
access-list inside_access_in permit tcp host ##### host ##### eq 3048
access-list inside_access_in permit tcp any any eq ftp
access-list inside_access_in permit tcp any any eq pop3
access-list inside_access_in permit tcp any any eq smtp
access-list inside_access_in permit tcp host ##### host ###### eq 11080
access-list inside_access_in permit tcp host ##### host ##### eq 3048
access-list inside_access_in permit tcp host ##### host ##### eq 3048
access-list inside_access_in permit tcp host P##### host ###### eq 3048
access-list inside_access_in deny tcp any any
access-list inside_access_in deny udp any any
access-list inside_access_in deny icmp any any
access-list inside_access_in deny ip any any
...was meist du mit
Zitat:
|
Was ich zB nicht kann, ist die PIX als Gateway zu nehmen, das lässt sie mich nicht!
|
gruss
jorge
