我爱电脑技术论坛 » 网络安全区 » Static,Conduit,Telnet命令

3636600 发表于 2008-5-17 01:05

Static,Conduit,Telnet命令

static (inside，outside) 204.31.19.0 192.168.3.0 netmask 255.255.255.0 e%KT
t r-W_;U6{wYk

&m#M7l3H)HH![ conduit permit tcp 204.31.19.0 255.255.255.0 eq h323 anyvD5Zmbt
S2F6p|jKO:B

-\Mw$nH },|1x6bl3AAg
static 创建了一个网络static 命令语句，这种语句用于某一类别的IP 地址(本例中为204.31.19.1 到204.31.19.254)。 static 命令说明了连接限制和初创限制变量的用法。连接的最大数定义了一个主机所能使用的连接数。这条命令允许接入10 个用户和至多30SYNS(初创连接)。static 命令的最大连接对向内和向外连接都适用。conduit 命令允许因特网用户向192.168.3.x 地址用户发送InternetPhone(端口 h323)请求(按204.31.19.x 寻址用户)*b#vsU"S _}

j&`)QN a(]-p3toeH;Q B6?[}-[2I3N
xJ%`bJ^
Static (inside，outside) 204.31.17.29 10.1.1.11-tP;TvS(Nu+z2go
W
}PJ4kX"`'H
conduit permit tcp host 204.31.17.29 eq 80 any\X)u!QX"sC|F
$P8LFeW1Q\n0s4Z"F

H L}KF
{ hP8VH*S&M4[F"R$|
static 命令和conduit 命令为web 接入(conduit 命令
^k
d!U2eu/w
y'V#W_/@XX 中为端口80)建立一个外部可见的IP 地址
F*T%p'C"aJ4}
0mW|1T B)a~
^9|!_ ya *x TIzM#o
Conduit permit udp host 204.31.17.29 eq rpc host 204.31.17.17 v@%@ S[9mR

1rto
Vu@0kVL Sj.XB#KmS

%x"w-N(^d 通过允许 UDP 端口111 上的端口映射基础上的sunRPC，提高static 命令的可访问性(参考UNIX/etc/rpc文件和UNIX rpc(3N) 的命令页以获取更多的信息)。为RPC 建立了一个管道之后， 你可以从外部主机204.31.17.17 上使用如下命令捕捉在RPC150001 上的PCNFSD 的活动：A~t.KS
D,U}#|:`aLN k
rpcinfo –u 204.31.17.29 150001另一种rpc 的用法是如果你想允许NFS 从外部装载，使用下面的命令查看204.31.17.29 的输出：showmount -e 204.31.17.29RPC 基础上的许多协议如NFS 并不安全，应小心使用。在允许访问 RPC 之前必须首先检查你的安全性规则
\&SD5zT3M T k_+P1f4S$M(GG1]G
If:{*?1Wz T2m^R

D G4HZ_0l;F.xG Conduit permit udp host 204.31.17.29 eq 2049 host 204.31.17.17h q,d Yie:p
WJP P;`'i
-]Rx5e$O/p Ye @

J4^N9Y$vr@+v 允许建在端口2049 上提供内部外部间访问的NFS访问，如204.31.17.17 可以访问10.1.1.11 T@5{lQ*d)j
8PX
m5F#V4v~E

*wYU,xqB r)oq(_O`
static (inside，outside) 204.31.17.30 10.1.1.3 netmask 255.255.255.255 10 10
i&Scu"T] +Fp5x'bGLcl
conduit permit tcp host 204.31.17.30 eq smtp any
p0{,{xd0c/mZa7] 'ozr6[]

&@*K T|;qZ OS ,o:t+MX^g]
通过全局地址204.31.17.30 标志对10.1.1.3 邮件服务器的访问。conduit 允许任何外部主机经过
[P0?kV3M1E2l$U'G
&wq!k\Y~.W8n| SMTP(端口 25)访问静态地址。缺省状态下，PIX防火墙限制所有的到邮件服务器(按照RFC821)A5O&ff ^F
*Etv-V2zna3}
4.5.1 节命令DATA，HELLO，MAIL，NOOP，QUIT，RCPT和RSET)的 访 问，这些情况由如下缺省配置命令设定的邮件控制服务实现：fixup protocol smtp 25提供邮件服务访问的另一个方面是设定确保有一个保存静态全局地址的DNS MX，外部用户向你的站点发送邮件时访问该DNS MX
6w`9ki!J.M6] "th"s9uC9UL
5W9sbg0z)s @(mk

)nH*j5q"O%v`7q3O/n conduit permit tcp host 204.31.17.30 eq 113 anyF ^ePbh'W4C

Kn:P'oK {$EL.hQ
.pzH,Js
建立对113 号端口(IDENT 协议)的访问。如果邮件服务器要与几个和已过时的、受到很多批评的IDENT 协议相连的外部邮件服务器对话，则使用conduit 命令来加速邮件传送,s"IN2|1LQ)x8F

YY)G'BC$j ~ i[ }T_'YDG
&O\#IpT
snmp-server host 192.168.3.2GAW \ y*a9y
&P V8[%dre(M*CM
snmp-server location building 42
d2Cry e-n6b"k;rv-M
y4u_;I5Dx*P
m&z snmp-server contact polly hedra
3N4v'u1fo2n+Y7~4Fa
8t2FG/x)nb(a2{ snmp-server community
0F N-Y/b7V %Qv6iy&~ Z|f
ohwhatakeyisthee
2j"N]E VyS"Ve
YK2^Q0N0qX +@N;dvN%L:]#D

#MZp4q/A.@y 这些命令设定主机192.168.3.2 可以接收防火墙通过系统日志发送的SNMP 事件。location 和contact命令标识主机在哪里及管理者是谁。community命令描述SMPT 服务器上正在使用的密码,L)D]^x
Ma&KH

}Ei WC/]&c %G
f7H.CWwE1~ kq

6| v&Ss-@B:TF,J telnet 10.1.1.11 255.255.255.255
vEf7`Fj4a i8J/p@Jb8?6X(E9[
telnet 192.168.3.0 255.255.255.0
7mQ @e[.T
e;U~1g.r2_ P3z$?2R-p

"UVm5_["}0Z h 这些命令允许主机访问 PIX 防火墙控制台。第一条telnet 命令允许单个主机10.1.1.11 用telnet 访问防火墙控制台。网络掩码中最后8 位的值255 表明只有特定的主机才能访问控制台。第二条telnet 命令允许192.168.3.0 子网中所有主机访问防火墙控制台。子网掩码中的0 表示此子网中的所有主机均能访问控制台但是telnet 仅允许最多16 个主机同时访问PIX 防火墙。

查看完整版本: Static,Conduit,Telnet命令