URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 11175
[ Назад ]

Исходное сообщение
"Cisco Pix 515e. Помогите попасть из inside в dmz"

Отправлено Forvord , 04-Авг-06 16:47 
Доброго времени суток! Стоит pix на нем 3 интерфейса: inside, outside, dmz. В dmz сидят сервера и транслируются в реальные на outside. В inside корпоративная сеть, которой надо хоть на сервера в DMZ по реальным внешним адресам. Между Pix-ом (192.168.0.1) и корпоративной сетью стоит роутер (192.168.0.0/24 <-----> 10.10.10.0/24), который просто роутит одну сеть в другую. Проблема в следующем: с текущей конфигурацией запросы из корпоративной сети к серверам попадают на outside, далее уходят на шлюз провайдера (192.168.62.49), а потом возращаютя обратно. В принципе все работает, но хотелось бы чтобы все это ходило не дальше pix-а. Конфиг прилагается.

Building configuration...
: Saved
:
PIX Version 6.1(4)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security10
enable password XXX encrypted
passwd XXX encrypted
hostname fw
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
no fixup protocol smtp 25
no names
access-list 101 permit tcp 10.10.10.0 255.255.255.0 host X.X.X.184 eq 3128
access-list 101 permit gre 10.10.10.0 255.255.255.0 host 192.168.62.52
access-list 101 permit ip host 10.10.10.3 any

-------------доступ для пользователей----------

access-list 101 permit udp host 10.10.10.254 any
pager lines 24
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside 192.168.62.50 255.255.255.240
ip address inside 192.168.0.1 255.255.255.252
ip address dmz 192.168.100.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 192.168.32.1-192.168.32.127 netmask 255.255.255.128
global (dmz) 1 192.168.100.50-192.168.100.254
nat (inside) 1 10.10.10.0 255.255.255.0 0 0
nat (dmz) 1 192.168.100.0 255.255.255.0 0 0
static (dmz,outside) X.X.X.184 192.168.100.2 netmask 255.255.255.255 0 0
static (dmz,outside) X.X.X.186 192.168.100.4 netmask 255.255.255.255 0 0
static (dmz,outside) X.X.X.187 192.168.100.5 netmask 255.255.255.255 0 0
static (inside,outside) X.X.X.185 10.10.10.3 netmask 255.255.255.255 0 0
access-group 101 in interface inside
conduit permit udp host X.X.X.184 eq domain any
conduit permit tcp host X.X.X.184 eq www any
conduit permit tcp host X.X.X.184 eq smtp any
conduit permit tcp host X.X.X.184 eq pop3 any
conduit permit tcp host X.X.X.184 eq domain host X.X.X.122
conduit permit tcp host X.X.X.184 eq domain host X.X.X.8
conduit permit udp host X.X.X.184 eq ntp any
conduit permit tcp host X.X.X.184 eq 3128 192.168.32.0 255.255.255.0
conduit permit icmp host X.X.X.184 any
conduit permit ip host X.X.X.185 any
conduit permit tcp host X.X.X.186 eq www any
conduit permit tcp host X.X.X.186 eq ftp 10.10.10.0 255.255.255.0
conduit permit tcp host X.X.X.186 eq ftp 192.168.32.0 255.255.255.0
conduit permit tcp host X.X.X.186 eq 2000 any
conduit permit tcp host X.X.X.186 eq 8080 any
conduit permit tcp host X.X.X.186 eq 5119 any
conduit permit tcp host X.X.X.186 eq 8001 any
conduit permit tcp host X.X.X.186 eq 8002 any
conduit permit tcp host X.X.X.186 eq 8003 any
conduit permit tcp host X.X.X.186 eq 8004 any
conduit permit tcp host X.X.X.186 eq 8005 any
conduit permit icmp host X.X.X.186 any
conduit permit tcp host X.X.X.184 eq 22 host X.X.X.2
conduit permit tcp host X.X.X.186 eq 22 host X.X.X.2
conduit permit tcp host X.X.X.184 eq ftp host X.X.X.2
conduit permit icmp 192.168.32.0 255.255.255.0 any
conduit permit gre 192.168.32.0 255.255.255.0 host 192.168.62.52
conduit permit gre 192.168.32.0 255.255.255.0 host X.X.X.69
route outside 0.0.0.0 0.0.0.0 192.168.62.49 1
route inside 10.10.10.0 255.255.255.0 192.168.0.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media
0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat
telnet 192.168.100.2 255.255.255.255 dmz
telnet timeout 5
ssh 10.10.10.0 255.255.255.0 inside
ssh 10.10.10.0 255.255.255.0 dmz
ssh timeout 5
terminal width 80
Cryptochecksum:f28e05d637ec39e5ec17706f1229925a
: end
[OK]


Содержание

Сообщения в этом обсуждении
"Cisco Pix 515e. Помогите попасть из inside в dmz"
Отправлено ilya , 07-Авг-06 09:44 
>Доброго времени суток! Стоит pix на нем 3 интерфейса: inside, outside, dmz. В dmz сидят сервера и транслируются в реальные на outside. В inside корпоративная сеть, которой надо хоть на сервера в DMZ по реальным внешним адресам. Между Pix-ом (192.168.0.1) и корпоративной сетью стоит роутер (192.168.0.0/24 <-----> 10.10.10.0/24), который просто роутит одну сеть в другую. Проблема в следующем: с текущей конфигурацией запросы из корпоративной сети к серверам попадают на outside, далее уходят на шлюз провайдера (192.168.62.49), а потом возращаютя обратно. В принципе все работает, но хотелось бы чтобы все это ходило не дальше pix-а. Конфиг прилагается.
>
>Building configuration...
>: Saved
>:
>PIX Version 6.1(4)
>nameif ethernet0 outside security0
>nameif ethernet1 inside security100
>nameif ethernet2 dmz security10
>enable password XXX encrypted
>passwd XXX encrypted
>hostname fw
>fixup protocol ftp 21
>fixup protocol http 80
>fixup protocol h323 1720
>fixup protocol rsh 514
>fixup protocol rtsp 554
>fixup protocol sqlnet 1521
>fixup protocol sip 5060
>fixup protocol skinny 2000
>no fixup protocol smtp 25
>no names
>access-list 101 permit tcp 10.10.10.0 255.255.255.0 host X.X.X.184 eq 3128
>access-list 101 permit gre 10.10.10.0 255.255.255.0 host 192.168.62.52
>access-list 101 permit ip host 10.10.10.3 any
>
>-------------доступ для пользователей----------
>
>access-list 101 permit udp host 10.10.10.254 any
>pager lines 24
>interface ethernet0 auto
>interface ethernet1 auto
>interface ethernet2 auto
>mtu outside 1500
>mtu inside 1500
>mtu dmz 1500
>ip address outside 192.168.62.50 255.255.255.240
>ip address inside 192.168.0.1 255.255.255.252
>ip address dmz 192.168.100.1 255.255.255.0
>ip audit info action alarm
>ip audit attack action alarm
>pdm history enable
>arp timeout 14400
>global (outside) 1 192.168.32.1-192.168.32.127 netmask 255.255.255.128
>global (dmz) 1 192.168.100.50-192.168.100.254
>nat (inside) 1 10.10.10.0 255.255.255.0 0 0
>nat (dmz) 1 192.168.100.0 255.255.255.0 0 0
>static (dmz,outside) X.X.X.184 192.168.100.2 netmask 255.255.255.255 0 0
>static (dmz,outside) X.X.X.186 192.168.100.4 netmask 255.255.255.255 0 0
>static (dmz,outside) X.X.X.187 192.168.100.5 netmask 255.255.255.255 0 0
>static (inside,outside) X.X.X.185 10.10.10.3 netmask 255.255.255.255 0 0
>access-group 101 in interface inside
>conduit permit udp host X.X.X.184 eq domain any
>conduit permit tcp host X.X.X.184 eq www any
>conduit permit tcp host X.X.X.184 eq smtp any
>conduit permit tcp host X.X.X.184 eq pop3 any
>conduit permit tcp host X.X.X.184 eq domain host X.X.X.122
>conduit permit tcp host X.X.X.184 eq domain host X.X.X.8
>conduit permit udp host X.X.X.184 eq ntp any
>conduit permit tcp host X.X.X.184 eq 3128 192.168.32.0 255.255.255.0
>conduit permit icmp host X.X.X.184 any
>conduit permit ip host X.X.X.185 any
>conduit permit tcp host X.X.X.186 eq www any
>conduit permit tcp host X.X.X.186 eq ftp 10.10.10.0 255.255.255.0
>conduit permit tcp host X.X.X.186 eq ftp 192.168.32.0 255.255.255.0
>conduit permit tcp host X.X.X.186 eq 2000 any
>conduit permit tcp host X.X.X.186 eq 8080 any
>conduit permit tcp host X.X.X.186 eq 5119 any
>conduit permit tcp host X.X.X.186 eq 8001 any
>conduit permit tcp host X.X.X.186 eq 8002 any
>conduit permit tcp host X.X.X.186 eq 8003 any
>conduit permit tcp host X.X.X.186 eq 8004 any
>conduit permit tcp host X.X.X.186 eq 8005 any
>conduit permit icmp host X.X.X.186 any
>conduit permit tcp host X.X.X.184 eq 22 host X.X.X.2
>conduit permit tcp host X.X.X.186 eq 22 host X.X.X.2
>conduit permit tcp host X.X.X.184 eq ftp host X.X.X.2
>conduit permit icmp 192.168.32.0 255.255.255.0 any
>conduit permit gre 192.168.32.0 255.255.255.0 host 192.168.62.52
>conduit permit gre 192.168.32.0 255.255.255.0 host X.X.X.69
>route outside 0.0.0.0 0.0.0.0 192.168.62.49 1
>route inside 10.10.10.0 255.255.255.0 192.168.0.2 1
>timeout xlate 3:00:00
>timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip
>0:30:00 sip_media
>0:02:00
>timeout uauth 0:05:00 absolute
>aaa-server TACACS+ protocol tacacs+
>aaa-server RADIUS protocol radius
>no snmp-server location
>no snmp-server contact
>snmp-server community public
>no snmp-server enable traps
>floodguard enable
>no sysopt route dnat
>telnet 192.168.100.2 255.255.255.255 dmz
>telnet timeout 5
>ssh 10.10.10.0 255.255.255.0 inside
>ssh 10.10.10.0 255.255.255.0 dmz
>ssh timeout 5
>terminal width 80
>Cryptochecksum:f28e05d637ec39e5ec17706f1229925a
>: end
>[OK]


может быть вам нужно сделать статик между инсайд и дмз ?
static (inside,dmz) 10.0.0.0 10.0.0.0 mask 255.0.0.0
или через  nat 0
но тут проблема будет в том что из локалки пользователи будут ломиться на виртуальные адреса в DMZ, а не на реальные.
если это не устраивает есть такая фича как dns rewriting, но у нее тоже ограниченный функционал. Все вышесказанное относится к версии 6.3 и выше, поддержку конкретных фич надо смотреть уже ближе к делу.


"Cisco Pix 515e. Помогите попасть из inside в dmz"
Отправлено Forvord , 07-Авг-06 10:34 
>может быть вам нужно сделать статик между инсайд и дмз ?
>static (inside,dmz) 10.0.0.0 10.0.0.0 mask 255.0.0.0
>или через  nat 0
>но тут проблема будет в том что из локалки пользователи будут ломиться
>на виртуальные адреса в DMZ, а не на реальные.
>если это не устраивает есть такая фича как dns rewriting, но у
>нее тоже ограниченный функционал. Все вышесказанное относится к версии 6.3 и
>выше, поддержку конкретных фич надо смотреть уже ближе к делу.


static (inside,dmz) 10.0.0.0 10.0.0.0 mask 255.0.0.0 - не помогает.
Там же сеть 192.168.100.0
насчет nat 0, можно пример какой нибудь...
nat (dmz) 0 192.168.100.0 255.255.255.0 0 0
static (dmz,inside) 192.168.100.0 255.255.255.0 192.168.100.0 255.255.255.0
conduit permit ip 10.10.10.0 255.255.255.0 192.168.100.0 255.255.255.0
не помогает...


"Cisco Pix 515e. Помогите попасть из inside в dmz"
Отправлено ilya , 07-Авг-06 11:42 
>>может быть вам нужно сделать статик между инсайд и дмз ?
>>static (inside,dmz) 10.0.0.0 10.0.0.0 mask 255.0.0.0
>>или через  nat 0
>>но тут проблема будет в том что из локалки пользователи будут ломиться
>>на виртуальные адреса в DMZ, а не на реальные.
>>если это не устраивает есть такая фича как dns rewriting, но у
>>нее тоже ограниченный функционал. Все вышесказанное относится к версии 6.3 и
>>выше, поддержку конкретных фич надо смотреть уже ближе к делу.
>
>
>static (inside,dmz) 10.0.0.0 10.0.0.0 mask 255.0.0.0 - не помогает.
а если убрать нат 1 и сделать cl xl ?
после чего сделать статик?
должно работать. если не работает - смотрите лог, на пиксе он очень информативный.

>Там же сеть 192.168.100.0
и ?  не совсем понятно - нужно транслировать все таки адреса при доступе в дмз или нет?

>насчет nat 0, можно пример какой нибудь...
>nat (dmz) 0 192.168.100.0 255.255.255.0 0 0
>static (dmz,inside) 192.168.100.0 255.255.255.0 192.168.100.0 255.255.255.0
>conduit permit ip 10.10.10.0 255.255.255.0 192.168.100.0 255.255.255.0
>не помогает...

nat (dmz) 0 192.168.100.0 255.255.255.0 0 0  - запрет трансляции адресов из сети DMZ


static (dmz,inside) 192.168.100.0 255.255.255.0 192.168.100.0 255.255.255.0  адреса из сети DMZ тоже не транслируются.

может быть стоит обновть версию пиксос, там есть например полиси нат с nat 0...&
хотя бы до версии 6.3.5


"Cisco Pix 515e. Помогите попасть из inside в dmz"
Отправлено Forvord , 09-Авг-06 09:30 
В общем поставил в dmz реальные адреса с nat 0. Снаружи все видно, из inside в dmz проходят только пинги. Пробовал писать acl на каждый интерфейс и убирать и их вообще... не помогло.

Building configuration...
: Saved
:
PIX Version 6.1(4)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security10
enable password XXX encrypted
passwd XXX encrypted
hostname fw
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
no fixup protocol smtp 25
no names
access-list 101 permit tcp 10.10.10.0 255.255.255.0 host X.X.X.184 eq 3128
access-list 101 permit gre 10.10.10.0 255.255.255.0 host 192.168.62.52
access-list 101 permit ip host 10.10.10.3 any
..............доступ в интернет из inside......
access-list 101 permit ip host 10.10.10.254 any
pager lines 24
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside 192.168.62.50 255.255.255.240
ip address inside 192.168.0.1 255.255.255.252
ip address dmz X.X.X.190 255.255.255.240
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 192.168.32.1-192.168.32.127 netmask 255.255.255.128
nat (inside) 1 10.10.10.0 255.255.255.0 0 0
nat (dmz) 0 0.0.0.0 0.0.0.0 0 0
static (inside,outside) X.X.X.185 10.10.10.3 netmask 255.255.255.255 0 0
static (inside,dmz) 10.10.10.0 10.10.10.0 netmask 255.255.255.0 0 0
access-group 101 in interface inside
conduit permit udp host X.X.X.184 eq domain any
conduit permit tcp host X.X.X.184 eq www any
conduit permit tcp host X.X.X.184 eq smtp any
conduit permit tcp host X.X.X.184 eq pop3 any
conduit permit tcp host X.X.X.184 eq domain host 81.13.60.122
conduit permit tcp host X.X.X.184 eq domain host 194.226.96.8
conduit permit udp host X.X.X.184 eq ntp any
conduit permit tcp host X.X.X.184 eq 3128 192.168.32.0 255.255.255.0
conduit permit icmp host X.X.X.184 any
conduit permit ip host X.X.X.185 any
conduit permit tcp host X.X.X.186 eq www any
conduit permit tcp host X.X.X.186 eq ftp 10.10.10.0 255.255.255.0
conduit permit tcp host X.X.X.186 eq ftp 192.168.32.0 255.255.255.0
conduit permit tcp host X.X.X.186 eq 2000 any
conduit permit tcp host X.X.X.186 eq 8080 any
conduit permit tcp host X.X.X.186 eq 5119 any
conduit permit tcp host X.X.X.186 eq 8001 any
conduit permit tcp host X.X.X.186 eq 8002 any
conduit permit tcp host X.X.X.186 eq 8003 any
conduit permit tcp host X.X.X.186 eq 8004 any
conduit permit tcp host X.X.X.186 eq 8005 any
conduit permit icmp host X.X.X.186 any
conduit permit tcp host X.X.X.184 eq 22 host X.X.X.2
conduit permit tcp host X.X.X.186 eq 22 host X.X.X.2
conduit permit tcp host X.X.X.184 eq ftp host X.X.X.2
conduit permit icmp 192.168.32.0 255.255.255.0 any
conduit permit gre 192.168.32.0 255.255.255.0 host 192.168.62.52
conduit permit gre 192.168.32.0 255.255.255.0 host 195.151.24.69
route outside 0.0.0.0 0.0.0.0 192.168.62.49 1
route inside 10.10.10.0 255.255.255.0 192.168.0.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00
sip_media
0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat
telnet X.X.X.184 255.255.255.255 dmz
telnet timeout 5
ssh 10.10.10.0 255.255.255.0 inside
ssh 10.10.10.0 255.255.255.0 dmz
ssh timeout 5
terminal width 80



"Cisco Pix 515e. Помогите попасть из inside в dmz"
Отправлено ilya , 09-Авг-06 09:39 
>В общем поставил в dmz реальные адреса с nat 0. Снаружи все
>видно, из inside в dmz проходят только пинги. Пробовал писать acl
>на каждый интерфейс и убирать и их вообще... не помогло.

гм. не понятно.
1. снаружи все ОК? т.е. работает как надо?
2. "из inside в dmz проходят только пинги" а что говорит лог? не поверю что ничего ;) включите уровень логирования в дебаг и посмотрите какие события случаются если вы обращаетесь в дмз.
3. снифером смотреть в дмз с какого соурса приходит пакет.


"Cisco Pix 515e. Помогите попасть из inside в dmz"
Отправлено Forvord , 09-Авг-06 11:45 
>>В общем поставил в dmz реальные адреса с nat 0. Снаружи все
>>видно, из inside в dmz проходят только пинги. Пробовал писать acl
>>на каждый интерфейс и убирать и их вообще... не помогло.
>
>гм. не понятно.
>1. снаружи все ОК? т.е. работает как надо?
>2. "из inside в dmz проходят только пинги" а что говорит лог?
>не поверю что ничего ;) включите уровень логирования в дебаг и
>посмотрите какие события случаются если вы обращаетесь в дмз.
>3. снифером смотреть в дмз с какого соурса приходит пакет.


1. Да все ок
2. Пока не разобрался с логами.
3. С сервера видно что идет соединение с серого адреса (напр 10.10.10.Х), но видмо ответа ему даеть не может (acl наверно прописывать какой-то надо).


"Cisco Pix 515e. Помогите попасть из inside в dmz"
Отправлено ilya , 09-Авг-06 11:58 
>>>В общем поставил в dmz реальные адреса с nat 0. Снаружи все
>>>видно, из inside в dmz проходят только пинги. Пробовал писать acl
>>>на каждый интерфейс и убирать и их вообще... не помогло.
>>
>>гм. не понятно.
>>1. снаружи все ОК? т.е. работает как надо?
>>2. "из inside в dmz проходят только пинги" а что говорит лог?
>>не поверю что ничего ;) включите уровень логирования в дебаг и
>>посмотрите какие события случаются если вы обращаетесь в дмз.
>>3. снифером смотреть в дмз с какого соурса приходит пакет.
>
>
>1. Да все ок
>2. Пока не разобрался с логами.
разбирайтесь. с ними придет ответ что не так
>3. С сервера видно что идет соединение с серого адреса (напр 10.10.10.Х),
>но видмо ответа ему даеть не может (acl наверно прописывать какой-то
>надо).

что значит не может? сервер ДОЛЖЕн дать ответ и это должно быть видно в снифере. то что пикс не пропустит - это нужно смотреть лог. с маршрутизацией косяков нет?


"Cisco Pix 515e. Помогите попасть из inside в dmz"
Отправлено Forvord , 09-Авг-06 13:41 
>смотреть лог. с маршрутизацией косяков нет?

Вот что про меня пишет Pix когда я лезу в дмз

302001: Built outbound TCP connection 6970 for faddr X.X.X.186/80 gaddr 10.10.10.105/1677 laddr 10.10.10.105/1677
302001: Built outbound TCP connection 6971 for faddr X.X.X.186/80 gaddr 10.10.10.105/1678 laddr 10.10.10.105/1678
302001: Built outbound TCP connection 6972 for faddr X.X.X.186/80 gaddr 10.10.10.105/1679 laddr 10.10.10.105/1679
302001: Built outbound TCP connection 6978 for faddr X.X.X.184/110 gaddr 10.10.10.105/1686 laddr 10.10.10.105/1686
302001: Built outbound TCP connection 6979 for faddr X.X.X.186/80 gaddr 10.10.10.105/1680 laddr 10.10.10.105/1680
302001: Built outbound TCP connection 6980 for faddr X.X.X.186/80 gaddr 10.10.10.105/1681 laddr 10.10.10.105/1681
302001: Built outbound TCP connection 6981 for faddr X.X.X.186/80 gaddr 10.10.10.105/1682 laddr 10.10.10.105/1682
302001: Built outbound TCP connection 6982 for faddr X.X.X.186/80 gaddr 10.10.10.105/1683 laddr 10.10.10.105/1683
302001: Built outbound TCP connection 6983 for faddr X.X.X.186/80 gaddr 10.10.10.105/1684 laddr 10.10.10.105/1684
302001: Built outbound TCP connection 6984 for faddr X.X.X.186/80 gaddr 10.10.10.105/1685 laddr 10.10.10.105/1685


"Cisco Pix 515e. Помогите попасть из inside в dmz"
Отправлено Forvord , 09-Авг-06 15:50 
Спасибо огромное за помощь!
Разобрался. Сам виноват естесственно. У серверов в дмз второй интерфйс смотрел в сеть 10.10.10.0, и видимо на то что приходило с 10.10.10.0 сети на внешний адрес он отвечал с внутреннего.