URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 13224
[ Назад ]

Исходное сообщение
"PIX 515e и static"

Отправлено dimokkk , 03-Апр-07 10:47 
Помогите, плс, совсем голову сломал:
Есть pix 515 с dmz,outside и inside
Outside идет к провайдеру, который выделил нам такую сетку x.x.x.232/29
вот конфиг

PIX Version 6.3(4)
..............
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
............
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
.................
access-list acl_in permit ip any any
access-list acl_out permit ip any any
access-list acl_dmz permit ip any any
..................
ip address outside x.x.x.234 255.255.255.248
ip address inside 192.168.102.1 255.255.255.248
ip address dmz 192.168.101.1 255.255.255.0
..........
static (inside,dmz) 192.168.0.0 192.168.0.0 netmask 255.255.0.0 0 0
static (dmz,inside) 192.168.101.0 192.168.101.0 netmask 255.255.255.0 0 0
static (dmz,outside) x.x.x.237 192.168.101.2 netmask 255.255.255.255
static (dmz,outside) x.x.x.236 192.168.102.179 netmask 255.255.255.255
access-group acl_out in interface outside
access-group acl_in in interface inside
access-group acl_dmz in interface dmz
.........
rip inside passive version 2
rip inside default version 2
rip dmz passive version 2
rip dmz default version 2
route outside 0.0.0.0 0.0.0.0 x.x.x.233 1
route inside 192.168.0.0 255.255.0.0 192.168.102.6 1

Задача: чтобы хост из dmz выходили и были доступны в инете. Вроде бы все по мануалу настроил, однако не получается из dmz наружу выйти.
PS на строки
access-list acl_in permit ip any any
access-list acl_out permit ip any any
access-list acl_dmz permit ip any any
с точки зрения безопасности не смотрите - тестовые листы

Заранее благодарен


Содержание

Сообщения в этом обсуждении
"PIX 515e и static"
Отправлено Valery , 05-Апр-07 09:55 
>Помогите, плс, совсем голову сломал:
>Есть pix 515 с dmz,outside и inside
>Outside идет к провайдеру, который выделил нам такую сетку x.x.x.232/29
>вот конфиг
>
>PIX Version 6.3(4)
>..............
>interface ethernet0 auto
>interface ethernet1 auto
>interface ethernet2 auto
>nameif ethernet0 outside security0
>nameif ethernet1 inside security100
>nameif ethernet2 dmz security50
>............
>fixup protocol dns maximum-length 512
>fixup protocol ftp 21
>fixup protocol h323 h225 1720
>fixup protocol h323 ras 1718-1719
>fixup protocol http 80
>fixup protocol ils 389
>fixup protocol rsh 514
>fixup protocol rtsp 554
>fixup protocol sip 5060
>fixup protocol sip udp 5060
>fixup protocol skinny 2000
>fixup protocol smtp 25
>fixup protocol sqlnet 1521
>fixup protocol tftp 69
>.................
>access-list acl_in permit ip any any
>access-list acl_out permit ip any any
>access-list acl_dmz permit ip any any
>..................
>ip address outside x.x.x.234 255.255.255.248
>ip address inside 192.168.102.1 255.255.255.248
>ip address dmz 192.168.101.1 255.255.255.0
>..........
>static (inside,dmz) 192.168.0.0 192.168.0.0 netmask 255.255.0.0 0 0
>static (dmz,inside) 192.168.101.0 192.168.101.0 netmask 255.255.255.0 0 0
>static (dmz,outside) x.x.x.237 192.168.101.2 netmask 255.255.255.255
>static (dmz,outside) x.x.x.236 192.168.102.179 netmask 255.255.255.255
>access-group acl_out in interface outside
>access-group acl_in in interface inside
>access-group acl_dmz in interface dmz
>.........
>rip inside passive version 2
>rip inside default version 2
>rip dmz passive version 2
>rip dmz default version 2
>route outside 0.0.0.0 0.0.0.0 x.x.x.233 1
>route inside 192.168.0.0 255.255.0.0 192.168.102.6 1
>
>Задача: чтобы хост из dmz выходили и были доступны в инете. Вроде
>бы все по мануалу настроил, однако не получается из dmz наружу
>выйти.
>PS на строки
>access-list acl_in permit ip any any
>access-list acl_out permit ip any any
>access-list acl_dmz permit ip any any
>с точки зрения безопасности не смотрите - тестовые листы
>
>Заранее благодарен


На хостах в ДМЗ дефаултроутом прописан IP dmz интерфейса?



"PIX 515e и static"
Отправлено dimokkk , 05-Апр-07 10:19 
Спасибо, уже разобрался - вот решение

global (outside) 2 x.x.x.237
global (outside) 3 x.x.x.236
nat (dmz) 2 192.168.101.2 255.255.255.255 0 0
nat (dmz) 3 192.168.101.179 255.255.255.255 0 0
static (inside,dmz) 192.168.100.0 192.168.100.0 netmask 255.255.0.0 0 0
static (dmz,inside) 192.168.101.0 192.168.101.0 netmask 255.255.255.0 0 0
static (dmz,outside) x.x.x.237 192.168.101.2 netmask 255.255.255.255 0 0
static (dmz,outside) x.x.x.236 192.168.101.179 netmask 255.255.255.255 0 0

Я просто думал что static по умолчанию включает натирование на внешнем интерфейсе, оказывается все просто. Побежал acl писать :-)