Поделитесь опытом использованя PIX в качестве шлюза домашних сетей.Есть ПИКс, софт 6.3, но можно и 7.1 залить
Кто-нибудь реализовывал полноценный выход пользователей в нет через такую штуку,
работа пользователей по реальным адресам и внутренним (NAT), учет трафика, плюс привязка по MAC адресу, логину и паролю
>Поделитесь опытом использованя PIX в качестве шлюза домашних сетей.
>
>Есть ПИКс, софт 6.3, но можно и 7.1 залить
>
>Кто-нибудь реализовывал полноценный выход пользователей в нет через такую штуку,
>работа пользователей по реальным адресам и внутренним (NAT), учет трафика, плюс привязка
>по MAC адресу, логину и паролюучет трафика по пользователям невозможен
привязка по макам не помню ;)
но логина/пароля должно быть достаточно (+ использование цифровых сертификатов)
Учет трафика на пиксе через авторизацию, цитата с сисадмина ру:
"Вот такая схема у меня.
PIX 515E
:кусок ACL inside
access-list in_acl permit tcp host 172.17.49.17 any eq www
access-list in_acl deny ip any any
:кусок ACL outside
access-list out_acl permit tcp any host xxx.xxx.xxx.xxx eq smtp
access-list out_acl deny ip any any
:что не/авторизуем
access-list inside_authentication_Internet deny tcp any 172.21.0.0 255.255.0.0
access-list inside_authentication_Internet deny tcp host 172.17.10.9 any
access-list inside_authentication_Internet permit tcp 172.17.2.0 255.255.255.0 any eq www
:что считаем
access-list inside_accounting_Internet permit tcp any any
access-list inside_accounting_Internet permit udp any anyaccess-group out_acl in interface outside
access-group in_acl in interface inside
access-group dmz_acl in interface dmztimeout uauth 9:00:00 absolute uauth 1:00:00 inactivity
:описание ААА сервера
aaa-server Internet protocol tacacs+
aaa-server Internet (inside) host 172.16.27.10 securityword timeout 5
: на каком интерфейсе что делаем
aaa authentication match inside_authentication_Internet inside Internet
aaa authentication ssh console LOCAL
aaa accounting match inside_accounting_Internet inside Internet172.16.27.10 - это CSACS (CiscoSecure ACS v3.2 offers support for multiple
AAA Clients and advanced TACACS+ and RADIUS features.)
У меня под виндой.
Управляется http://172.16.27.10:2002/Что тут:
пункт Network configuration. Тут описываем сам сервер и его клиентов,
прописываем securityword`ыПункт system configuration. выбираем logging, далее CSV TACACS+ Accounting,
настраиваем поля, которые хотим получить в файлах.Пункт External User databases. Выбираем Database Configuration, выбираем
например Windows Database, выбираем нужный домен.Пункт Group setup. Выбираем группы, обзываем, настраиваем время работы, свойства.
Пункт External User databases. Выбираем Database Group Mappings, выбираем
например нужный домен, и маппим доменные группы на локальные группы, которые уже настроили.Пункт Reports and Activity. Смотрим TACACS+ Accounting, там лежат файлики
TACACS+ Accounting active.csv; TACACS+ Accounting 2006-03-27.csv и прочие.Вот собственно и все. Дешево и сердито.
Критика приветствуется.
Точнее я даже сам знаю недостатки этой конструкции: куда тут приткнуть прокси, вот в чем вопрос!"
>Поделитесь опытом использованя PIX в качестве шлюза домашних сетей.
>
>Есть ПИКс, софт 6.3, но можно и 7.1 залить
>
>Кто-нибудь реализовывал полноценный выход пользователей в нет через такую штуку,
>работа пользователей по реальным адресам и внутренним (NAT), учет трафика, плюс привязка
>по MAC адресу, логину и паролюFirewall Analyzer 4 прекрасно собирает статистику с пикса