老胳膊总结PIX流量放行问题:

 

NAT,从高到低(安全级别)
ACL,在完全级别较低的端口上放行流量
ESP、isakmp(***协议),是非状态化协议,不支持状态化监控,需要放行返回的ESP流量。
GRE,是不支持状态化的协议流量,需放行返回的gre流量。

 

放行ICMP流量:
#access-list out permit icmp any any
#access-group out in interface outside

 

在配置BGP协议时,如果BGP会话加密的话,那么默认情况下是无法穿越透明防火墙的。这是因为防火墙出于安全的考虑,默认情况下会打开TCP序列号随机化的小特性,另外防火墙会擦出TCP的一些选项位,在BGP加密会话中,19号选项位包含了MD5加密的属性信息,防火墙清除这个字段后的后果就是加密的BGP会话建立不起来。解决办法是放行OPTION 19,

放行option 19:     //允许TCP包头中的option字段的19号选项位
class-map BGP-MD5-classmap
     match port tcp eq 179
  tcp-map BGP-MD5
          tcp-option range 19 19 allow

policy-map global_policy
     class BGP-MD5-classmap
        set connection advanced-option BGP-MD5

service-policy global_policy global


查看原文: http://www.laogebo.com/archives/246.html