Bonjour,
Il n'y a pas de doc mais des exemples tout prets (pas faciles à trouver en plus).
Je n'ai jamais pris le temps de documenter non plus d'ailleurs (mes client s'en sont tous passés en plus).
Si tu es en 6.3(5) alors voici comment ajouter une translation statique (pour permettre l'accès à un serveur depuis l'extérieur) :
translation pour le FTP (il faut préciser les ports car tu n'as qu'une IP publique)
static (inside,outside) tcp ADRESSE_PUBLIQUE ftp ADRESSE_REELLE ftp [netmask 255.255.255.255] [dns]
- l'adresse publique est l'adresse que tu donnes à la machine à l'extérieur (probablement celle du PIX) ou une du réseau entre le modem et le PIX
- l'adresse réelle est l'adresse IP de la machine sur le réseau interne
- la première option (netmask ...) est innutile car le PIX la mettra tout seul normalement
- la seconde option (dns) permet au PIX de corriger les réponses DNS (inutile dans ton cas)
Tu peux reprendre le principe de cette commande pour tout autre protocole (si le nom du protocole n'est pas connu - comme pour VNC - tu peux mettre le numéro du port)
Ensuite il faudra ouvrir une access-list pour permettre la communication :
access-list NOMACL permit tcp any host ADRESSE_PUBLIQUE eq ftp
- NOM est le nom de l'access-list , ce nom servira pour affecter l'access-list à une interface
- any => on ne connait pas à priori l'adresse IP qui va se connecter
- host ADRESSE_PUBLIQUE => l'adresse "publique" du serveur défini dans la translation, ou pourrait utiliser un autre format : ADRESSE_PUBLIQUE MASK, mais ce format est plus clair pour une IP seule
- eq ftp = le port DESTINATION doit être égal à 21 (ftp) - il existe d'autres options comme gt (plus grand que)
Enfin, il faut appliquer l'access-list à l'interface considérée :
access-group NOM_ACL in interface outside
PS : j'ai supposé que les nom des interfaces étaient inside et outside (le standard habituel) mais si ce n'est pas le cas il faut corriger les commandes en conséquence.
Voilà ...
"forwarder un port"
