零起点配置PIX防火墙 六大基本命令1(4)

　　表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq ftp就是指允许或拒绝只对ftp的访问。　　
　　Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89
　　
　　设置不允许外部主机61.144.51.89对任何全局地址进行ftp访问。　　
　　Pix525(config)#conduit permit icmp any any　　
　　设置允许icmp消息向内部和外部通过。　　
　　Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3 Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any　　
　　这两句是将static和conduit语句结合而生效的，192.168.0.3在内网是一台web服务器，现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射把内部IP192.168.0.3转换为全局IP61.144.51.62，然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。　　
　　小提示：　　
　　对于上面的情况不使用conduit语句设置容许访问规则是不可以的，因为默认情况下PIX不容许数据包主动从低安全级别的端口流向高安全级别的端口。　　
　　配置fixup协议：　　
　　fixup命令作用是启用，禁止，改变一个服务或协议通过pix防火墙，由fixup命令指定的端口是pix防火墙要侦听的服务。示例例子如下：　　
　　Pix525(config)#fixup protocol ftp 21　　
　　启用ftp协议，并指定ftp的端口号为21　　
　　Pix525(config)#fixup protocol http 80
　　Pix525(config)#fixup protocol http 1080
　　　　为http协议指定80和1080两个端口。
　　　　Pix525(config)#no fixup protocol smtp 80
　　　　禁用smtp协议。
　　
　　设置telnet：　　
　　在pix5.0之前只能从内部网络上的主机通过telnet访问pix。在pix 5.0及后续版本中，可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时，telnet数据流需要用ipsec提供保护，也就是说用户必须配置pix来建立一条到另外一台pix，路由器或vpn客户端的ipsec隧道。另外就是在PIX上配置SSH，然后用SSH client从外部telnet到PIX防火墙。　　
　　我们可以使用telnet语句管理登录PIX的权限，telnet配置语法：telnet local_ip [netmask] local_ip 表示被授权通过telnet访问到pix的ip地址。如果不设此项，pix的配置方式只能由console进行。也就是说默认情况下只有通过console口才能配置PIX防火墙。　　
　　小提示：
　　

　　由于管理PIX具有一定的危险性，需要的安全级别非常高，所以不建议大家开放提供外网IP的telnet管理PIX的功能。如果实际情况一定要通过外网IP管理PIX则使用SSH加密手段来完成。


CISCO PIX防火墙系统管理 出处：互联网使用Telnet进行远程系统管理（Us