网络安全 频道

Cisco Pix 515E 如何在DMZ区放服务器

    【IT168 专稿】Cisco Pix 515E防火墙如何实现在DMZ区放一服务器?有两个动态IP地址供分配,有一个内网地址,要求在防火墙的DMZ区放一服务器如何实现 ?

    Cisco Pix 515E有一个fixup protocol smtp 25命令,把他禁止掉就可以了no fixup protocol smtp 25。

    你看一下他的英文解释,实际上他启动了一个叫Mail Guard的烂东西(害人不浅),把Auth等命令全部给替换了并返回500 command unrecognized。

    原因很简单,Cisco Mail Guard并不支持ESMTP,可当时却束手无策。按说Cisco 515E的时间应该比ESMTP要晚吧,应该建议Cisco更新一下他的Mail Guard特型。不知PIX Version 6.1(4)以上的版本是否已经支持ESMTP了。

    防火墙为Cisco Pix 515E,做了NAT,服务器放在DMZ区作外部地址映射,从外部Telnet邮件服务器25端口,EHLO命令识别不了。你也可以用sniffer截获防火墙到主机间的smtp请求包看看,检查是不是内容被修改了。如果是,就得问问防火墙的管理员了,是否修改了内容。

    请参考"Cisco PIX Firewall Command Reference Version 6.1"的4-23,关于fixup protocol smtp的解释:
    The fixup protocol smtp command enables the Mail Guard feature, which only lets mail servers receive the RFC 821, section 4.5.1 commands of HELO, MAIL, RCPT, DATA, RSET, NOOP, and QUIT. All other commands are rejected with the "500 command unrecognized" reply code. 

    As of version 5.1 and later, the fixup protocol smtp command changes the characters in the SMTP banner to asterisks except for the "2", "0", "0 " characters. Carriage return (CR) and linefeed (LF) characters are ignored. 

    In version 4.4, all characters in the SMTP banner are converted to asterisks. 

    而fixup protocol smtp的特性在Cisco PIX 515E中的防火墙是默认的。
