PIX Config

jorge · 14.10.2003, 10:44

noch was....
wenn du den pdm nicht verwenden willst, hier eine beispielkonfiguration (kommentiert):

nameif ethernet0 outside security0 # ethernet0 ist immer der name des outside int.
securtiy stufen von 0 bis 100, 100 ist höchste sec. stufe
nameif ethernet1 inside security100 # ethernet1 ist immer der name des inside int.
interface ethernet0 10baset # eh klar
interface ethernet1 10baset # eh klar
ip address outside 209.165.201.3 255.255.255.224 # eh klar
ip address inside 192.168.3.0 255.255.255.0 # eh klar
hostname pixfirewall # auch klar
arp timeout 14400 # nach 14400 secunden wird der arp cache refresht
no failover # keine 2. firewall für failover geht erst ab der 515E
names # du kannst jeder ip adresse und jedem netzwerk einen namen geben, so ne art lmhosts datei wie bei win
pager lines 24 # anzahl der zeilen die hyperterminal oder telnet auf einmal anzeigen
logging buffered debugging # wenn debug aktiviert schreibt die pix die outputs in einen internen buffer
nat (inside) 1 0 0 # 1 ist die NAT ID, 0 steht für IP Adresse (Network) 0.0.0.0, die 2te 0 für die Subnetmask
global (outside) 1 209.165.201.10-209.165.201.30 # jeder der von innen nach aussen will bekommt eine ip adr. aus diesem pool
global (outside) 1 209.165.201.8 # sind im obigen pool keine adressen mehr verfügbar macht die pix PAT mit dieser adresse
route outside 0.0.0.0 0.0.0.0 209.165.201.1 1 # ist die metric (1 hop bis zum nächsten router)
access-list ping_acl permit icmp any any
access-group ping_acl in interface inside
access-group ping_acl in interface dmz
access-list acl_out
permit icmp any any #ist der name der access list (kann auch eine zahl sein)
timeout xlate 3:00:00 # nach 3 stunden wird nat table refresht
timeout conn 1:00:00 half-closed 0:10:00 # PDM timeout, hat auch mit nat zu tun
udp 0:02:00 rpc 0:10:00 h323 0:05:00 # protokoll spezifische timeouts (vergiss es)
sip 0:30:00 sip_media 0:02:00 # protokoll spezifische timeouts (vergiss es)
timeout uauth 0:05:00 absolute # protokoll spezifische timeouts (vergiss es)
no snmp-server location # ist klar
no snmp-server contact # ist klar
snmp-server community public # public ist das default snmp password (Read only)
mtu outside 1500 # max groesse der erlaubten IP Packete in byte am outside interface (einfach so lassen)
mtu inside 1500 # max groesse der erlaubten IP Packete in byte am inside interface (einfach so lassen)

jorge

14.10.2003, 10:44	#1
jorge Veteran Registriert seit: 20.05.2003 Alter: 50 Beiträge: 398	noch was.... wenn du den pdm nicht verwenden willst, hier eine beispielkonfiguration (kommentiert): nameif ethernet0 outside security0 # ethernet0 ist immer der name des outside int. securtiy stufen von 0 bis 100, 100 ist höchste sec. stufe nameif ethernet1 inside security100 # ethernet1 ist immer der name des inside int. interface ethernet0 10baset # eh klar interface ethernet1 10baset # eh klar ip address outside 209.165.201.3 255.255.255.224 # eh klar ip address inside 192.168.3.0 255.255.255.0 # eh klar hostname pixfirewall # auch klar arp timeout 14400 # nach 14400 secunden wird der arp cache refresht no failover # keine 2. firewall für failover geht erst ab der 515E names # du kannst jeder ip adresse und jedem netzwerk einen namen geben, so ne art lmhosts datei wie bei win pager lines 24 # anzahl der zeilen die hyperterminal oder telnet auf einmal anzeigen logging buffered debugging # wenn debug aktiviert schreibt die pix die outputs in einen internen buffer nat (inside) 1 0 0 # 1 ist die NAT ID, 0 steht für IP Adresse (Network) 0.0.0.0, die 2te 0 für die Subnetmask global (outside) 1 209.165.201.10-209.165.201.30 # jeder der von innen nach aussen will bekommt eine ip adr. aus diesem pool global (outside) 1 209.165.201.8 # sind im obigen pool keine adressen mehr verfügbar macht die pix PAT mit dieser adresse route outside 0.0.0.0 0.0.0.0 209.165.201.1 1 # ist die metric (1 hop bis zum nächsten router) access-list ping_acl permit icmp any any access-group ping_acl in interface inside access-group ping_acl in interface dmz access-list acl_out permit icmp any any #ist der name der access list (kann auch eine zahl sein) timeout xlate 3:00:00 # nach 3 stunden wird nat table refresht timeout conn 1:00:00 half-closed 0:10:00 # PDM timeout, hat auch mit nat zu tun udp 0:02:00 rpc 0:10:00 h323 0:05:00 # protokoll spezifische timeouts (vergiss es) sip 0:30:00 sip_media 0:02:00 # protokoll spezifische timeouts (vergiss es) timeout uauth 0:05:00 absolute # protokoll spezifische timeouts (vergiss es) no snmp-server location # ist klar no snmp-server contact # ist klar snmp-server community public # public ist das default snmp password (Read only) mtu outside 1500 # max groesse der erlaubten IP Packete in byte am outside interface (einfach so lassen) mtu inside 1500 # max groesse der erlaubten IP Packete in byte am inside interface (einfach so lassen) jorge

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)