Hi,

Minh nhận được một email yêu cầu giúp đỡ của một thành viên trên diễn đàn. Trong email, bạn đó mô tả là bạn hiện chỉ có thể biết cách access vào routers và pix dùng console. Yêu cầu của bạn là muốn xin một cấu hình cho PIX, cho gateway routers.

Ngoài ra anh bạn đó muốn cấm một vài client không cho truy cập vào Internet.

Mong các bạn cho một vài lời khuyên, cấu hình mẫu.

Minh
-------------------------------------------
Em gui anh so do mang hien nay cua cong ty em , anh mo file dinh kem . Hien nay thi PIX chua duoc noi vao mang , theo em biet thi luc truoc cai PIX gap su co va duoc mang di bao hanh . Nhung khi mang ve thi anh quan tri mang nghi , ma luc truoc thi van chay Nat bang may server mail .
Thoi gian vua roi em cung da ngoi doc cac tai lieu lien quan va tham khao y kien cua moi nguoi , em cung da co the tao mot cai Hyper Terminal de ket noi voi Router hay PIX roi , nghia la em cung hieu moi truong de config 2 thiet bi do .

Anh co y kien nao cho em biet voi .

Con ve he thong hien nay , em rat muon de Router chay them Nat , vi nhieu luc Mail server hoi bi qua tai . Con cai PIX em rat can no chi cho phep mot so ip vao Internet thoi .
--------------------------------------------------------------------------

Cấu hình Router
hostname VDCGateway
!
enable secret 5 test

!
no ip domain-lookup
!
!
!
!
interface Ethernet0
description "Connect to PIX outside "
ip address 203.162.95.193 255.255.255.240
duplex auto
speed auto
!
interface Serial0
description *** Gateway to VDC ***
ip address 203.162.x.x255.255.255.252
ip access-group 101 in
no cdp enable
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
no ip http server
ip pim bidir-enable
!
access-list 101 deny tcp any 203.162.88.32 0.0.0.7 eq telnet
access-list 101 deny tcp any 203.162.88.40 0.0.0.7 eq telnet
access-list 101 permit ip any any
snmp-server community public RO
snmp-server community private RW
snmp-server enable traps tty
snmp-server host 192.168.0.6 public syslog
!
line con 0
line aux 0
line vty 0 4
password 7 cisco
login
!
end

cái dãi địa chỉ IP chỉ được 203.162.95.193 tới 203.162.95.206 thôi chứ không đánh được tới 208 nếu subnet là 240

Cấu hình PIX
PIX Version 6.2(2)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 3oq6YAsXWMRz encrypted
passwd 3oq6YAsXWMX encrypted
hostname pix
domain-name x.com
clock timezone ICT 7
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
no fixup protocol smtp 25
no names
access-list acl_in permit icmp any any
access-list acl_in permit tcp any any
access-list acl_in permit udp any any
access-list acl_in permit ip any any
access-list acl_out permit icmp any any
access-list acl_out permit tcp any host 203.162.92.200 eq pop3
access-list acl_out permit tcp any host 203.162.92.200 eq smtp
logging on
logging timestamp
logging standby
logging monitor alerts
logging buffered alerts
logging trap errors
logging host inside 192.168.0.6
interface ethernet0 auto
interface ethernet1 auto
icmp permit 192.168.0.0 255.255.255.0 echo-reply inside
mtu outside 1500
mtu inside 1500
ip address outside 203.162.95.194 255.255.255.240
ip address inside 192.168.0.254 255.255.255.0
ip verify reverse-path interface outside
ip audit name attack attack action drop reset
ip audit name info info action alarm
ip audit interface outside info
ip audit interface outside attack
ip audit info action alarm
ip audit attack action alarm
arp timeout 14400
global (outside) 1 203.162.95.195-203.162.95.196 netmask 255.255.255.240
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-group acl_out in interface outside
access-group acl_in in interface inside
route outside 0.0.0.0 0.0.0.0 203.162.95.153 1
timeout xlate 3:00:00
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
snmp-server host inside 192.168.0.6
snmp-server location x
snmp-server contact xx
snmp-server community xxx
snmp-server enable traps
floodguard enable
no sysopt route dnat
telnet 192.168.0.x 255.255.255.0 inside
.255.255 inside
telnet timeout 5
ssh timeout 5
privilege 15
terminal width 80
Cryptochecksum:7db468c9fcc77
: end
ai sửa nốt phầm map địa chỉ nữa nhé