cisco pix 高手清进

internet_lan

我单位的网络情况是，网络划分三个区，外网，内网DMZ区。安全级别是：\r\n\r\ninside100;outside 0;DMZ 50. 其中DMZ区中放置WEB服务器，pix防火墙放置在外\r\n\r\n网和内网之间，WEB服务器连接DMZ网络接口，公网IP(202.103.225.15)与ＷＥＢ\r\n\r\n服务器ＩＰ（内部ＩＰ192.168.1.10）做static 和NAT 。在防火墙的（outside\r\n\r\n）定义所有的外部连接只能到DMZ的WEB服务器，其中开放SMTP.WWW.domain端口连\r\n\r\n接，不允许访问内部网络， （inside） 定义部网络192.168.0.0都可以出去.没\r\n\r\n有在DMZ网络接口定义什么规则。所有的外部可以正常的连接到WEB服务器。内部\r\n\r\n网可以ping 192.168.1.10 WEB服务器，服务器也可以ping 外部的IP（不能ping \r\n\r\n域名如www.sina.com.cn，只能ping其地址）web服务器本机上不能浏缆其它的网\r\n\r\n站，也不能收发电子邮件,不能做DNS查询。内部网可以正常的使用网络的各种服\r\n\r\n务WWW.SMTP.nsloop查询都可以. \r\n现在我单位要在WEB服务器上建立电子邮件服务(使用web方式是@163.com电子邮件\r\n\r\n域名) \r\n\r\n请各前辈们指出配置方案解决问题的思路,或者配置方案.只要各位以后用到我的\r\n\r\n地方尽管开口.

internet_lan

有人懂的请帮帮忙!!!!

zhaosi

你是说加上mail服务器后怎么配置吗？

qhth_wlq

conduit permit tcp host DNSserverIP  eq 53  \r\nconduit permit udp DNSserverIP  eq 53  \r\nconduit permit tcp host smtserverpIP  eq  smtp\r\nconduit permit udp smtpserverIP  eq smtp

左看又看

这个配置方法其实和WEB服务器差不多，对外网开放25端口(收邮件)，同时允许服务器访问外网的53(能做域名解析)和25端口(向其他MTA发信)就可以了。总之方针是只开启你需要的业务。