|
hello,
wenn du mehrere access-listen hast zb.:
access-list outside_Interface permit tcp host x host y eq 80
access-list outside_Interface permit tcp host v host z eq 443
usw.
du kannst die einzelnen access-listen nur so bearbeiten, indem du die zu erst löschst und dann eben neu anlegst (mit den neuen parametern).
zu deinem zugriff auf den ftp-server.
generell sollte es so sein, dass die pup-ip der firewall nur für die firewall ist (zumindest in grösseren umgebungen). wenn services, wie in deinem fall, von aussen verfügbar sein sollten, dann sollte eine weitere pupip genommen werden.
wenn du das nicht kannst, weil du einfach nur eine einzige pupip zur verfügung hast, dann geht das trotzdem.
ABER: dabei musst du aufpassen, dass du beim static-befehl den port genau mit angibst. nur dann funktioniert das. gibst du den port nicht an, so geht nichts mehr (diesen fall hatte ich schon öfters bei kunden).
meine bevorzugten versionen sind also:
1) pupip der firewall wird für nichts anders benutzt
2) wenn es nicht anders geht, dann eben static-einträge mit den entsprechenden port-parametern mitangeben.
lg
martin
|