fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。 例1. Pix525(config)#fixup protocol ftp 21 启用ftp协议,并指定ftp的端口号为21 例2. Pix525(config)#fixup protocol http 80 Pix525(config)#fixup protocol http 1080 为http协议指定80和1080两个端口。 例3. Pix525(config)#no fixup protocol smtp 80 禁用smtp协议。 |
因为有的网络协议应用在防火墙上可能会出现问题,所以Cisco针对一些网络协议作了特别处理,就是Fixup。
举例,例如FTP协议,标准的FTP协议是基于PORT方式的,即服务端的数据端口要反向连接客户端中PORT命令指定的端口,如果服务端在防火墙外,客户端在内,防火墙默认是拒绝服务端连接客户机的,这样就导致FTP应用无法正常进行。解决办法只有两个
1 客户端改用PASV方式连接
2 防火墙知道如何处理FTP协议连接方式
我的理解PIX在接到Fixup FTP21时,对客户端连接21的数据流进行协议分析找出客户端打开的数据端口,当服务端20端口反向连接这个数据端口时,防火墙予以放行以保证应用顺利进行。当然有的FTP服务端口不一定在21上,也可使用命令 Fixup FTPXXX(目的端口)。
Fixup命令的使用
由fixup命令所制定的端口是pix监听到的对象,fixup命令可以用来改变缺省的端口分配.
[no] fixup protocol [prot ocol] [port]
no pixprotocol命令来重设对缺省配置的应用程序检查条目。
clear fixup命令从添加的配置中移除fixup命令,但其并不移除缺省的fixup protocol命令
所以这里需要记住,如果你只用protocol protocol http8080,并没有改变默认的fixup protocol http 80,通过showfixup你可以看到pix在端口80,8080,8888监听到http流量
经验,我做过一个cisco vpn client访问公司的lotusnotes信箱,很有意思的是我不能直接打开lotusnotes,而只能在island状态下作replication,后来我关闭了nofixup protocol smtp 25,就可以了。
no fixup protocol ftp命令来使ftpfixups失去作用,出站用户只能以被动模式来发起连接,而所有的入站ftp都被静止.
什么是出站?
就本人理解. 出站就是: PC机某一程序 主动 连接互联网. 注: 是主动! 这就是出站了!
什么是入站?
本人理解: 入站就是:互联网上的用户主动连接你的电脑.向你发送数据!
最具体表现在: 网络攻击!远程控制木马中的,(正向连接)
这些,都属于入站!