URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 13275
[ Назад ]

Исходное сообщение
"Настройка static NAT на PIX"

Отправлено sbodikov , 07-Апр-07 13:10 
Добрый день!

Есть такие настройки на PIX

access-list 100 extended permit tcp any host 212.109.ххх.1 eq https
nat (inside) 1 10.1.0.0 255.255.0.0
static (inside,outside) tcp 212.109.ххх.1 https 10.1.1.31 8443 netmask 255.255.255.255
access-group 100 in interface outside

Соответственно обращаясь из Интернет по ссылке https://212.109.ххх.1 пользователи попадают на нужный сайт.

Как сделать, так что бы по той же ссылке https://212.109.ххх.1 из локальной сети можно было заходить на сайт. На данный момент не работает.

Спасибо.


Содержание

Сообщения в этом обсуждении
"Настройка static NAT на PIX"
Отправлено Vladimir Iosifov , 07-Апр-07 19:49 
А сайт и локальные машинки находятся в одной подсети? За одним интерфейсом?



"Настройка static NAT на PIX"
Отправлено sbodikov , 07-Апр-07 20:25 
>А сайт и локальные машинки находятся в одной подсети? За одним интерфейсом?
>

Абсолютно верно
В одной подсети, за одним интерфейсом.


"Настройка static NAT на PIX"
Отправлено vofffka , 10-Апр-07 13:58 
>>А сайт и локальные машинки находятся в одной подсети? За одним интерфейсом?
>>
>
>Абсолютно верно
>В одной подсети, за одним интерфейсом.

Попробуй так:
access-list test extended permit ip 10.1.0.0 255.255.0.0 212.109.0.0 255.255.0.0
static (lan_int,lan_int) 10.1.0.0  access-list test


"Настройка static NAT на PIX"
Отправлено vofffka , 10-Апр-07 14:10 
>>>А сайт и локальные машинки находятся в одной подсети? За одним интерфейсом?
>>>
>>
>>Абсолютно верно
>>В одной подсети, за одним интерфейсом.
>
>Попробуй так:
>access-list test extended permit ip 10.1.0.0 255.255.0.0 212.109.0.0 255.255.0.0
>static (lan_int,lan_int) 10.1.0.0  access-list test

Забыл дописать: еще неоходимо зделать
same-security-traffic permit intra-interface


"Настройка static NAT на PIX"
Отправлено sbodikov , 11-Апр-07 11:20 
Спасибо поробую.

"Настройка static NAT на PIX"
Отправлено sbodikov , 18-Апр-07 16:57 
Что-то совсем не заработало.

"Настройка static NAT на PIX"
Отправлено ВОЛКА , 18-Апр-07 18:32 
а версия PIXOS у вас какая?

"Настройка static NAT на PIX"
Отправлено sbodikov , 18-Апр-07 21:13 
>а версия PIXOS у вас какая?

Cisco PIX Security Appliance Software Version 7.0(4)
Device Manager Version 5.0(5)

Compiled on Thu 13-Oct-05 21:43 by builders
System image file is "flash:/image.bin"
Config file at boot was "startup-config"

pixfirewall up 279 days 10 hours

Hardware:   PIX-515E, 128 MB RAM, CPU Pentium II 433 MHz
Flash E28F128J3 @ 0xfff00000, 16MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
0: Ext: Ethernet0           : address is 0011.93a1.4ef7, irq 10
1: Ext: Ethernet1           : address is 0011.93a1.4ef8, irq 11
2: Ext: Ethernet2           : address is 000d.88ee.ce78, irq 11
3: Ext: Ethernet3           : address is 000d.88ee.ce79, irq 10
4: Ext: Ethernet4           : address is 000d.88ee.ce7a, irq 9
5: Ext: Ethernet5           : address is 000d.88ee.ce7b, irq 5

Licensed features for this platform:
Maximum Physical Interfaces : 6        
Maximum VLANs               : 25        
Inside Hosts                : Unlimited
Failover                    : Active/Active
VPN-DES                     : Enabled  
VPN-3DES-AES                : Disabled  
Cut-through Proxy           : Enabled  
Guards                      : Enabled  
URL Filtering               : Enabled  
Security Contexts           : 2        
GTP/GPRS                    : Disabled  
VPN Peers                   : Unlimited

This platform has an Unrestricted (UR) license.


"Настройка static NAT на PIX"
Отправлено ВОЛКА , 18-Апр-07 23:51 
>>а версия PIXOS у вас какая?
>
>Cisco PIX Security Appliance Software Version 7.0(4)
>Device Manager Version 5.0(5)
>
>Compiled on Thu 13-Oct-05 21:43 by builders
>System image file is "flash:/image.bin"
>Config file at boot was "startup-config"
>
>pixfirewall up 279 days 10 hours
>
>Hardware:   PIX-515E, 128 MB RAM, CPU Pentium II 433 MHz
>
>Flash E28F128J3 @ 0xfff00000, 16MB
>BIOS Flash AM29F400B @ 0xfffd8000, 32KB
>
>Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
> 0: Ext: Ethernet0        
>  : address is 0011.93a1.4ef7, irq 10
> 1: Ext: Ethernet1        
>  : address is 0011.93a1.4ef8, irq 11
> 2: Ext: Ethernet2        
>  : address is 000d.88ee.ce78, irq 11
> 3: Ext: Ethernet3        
>  : address is 000d.88ee.ce79, irq 10
> 4: Ext: Ethernet4        
>  : address is 000d.88ee.ce7a, irq 9
> 5: Ext: Ethernet5        
>  : address is 000d.88ee.ce7b, irq 5
>
>Licensed features for this platform:
>Maximum Physical Interfaces : 6
>Maximum VLANs          
>    : 25
>Inside Hosts          
>     : Unlimited
>Failover            
>        : Active/Active
>VPN-DES            
>         : Enabled
>
>VPN-3DES-AES            
>    : Disabled
>Cut-through Proxy          
>: Enabled
>Guards            
>          :
>Enabled
>URL Filtering          
>    : Enabled
>Security Contexts          
>: 2
>GTP/GPRS            
>        : Disabled
>VPN Peers          
>        : Unlimited
>
>This platform has an Unrestricted (UR) license.
тогда
conf t
logg on
logg mon 7
term mon
из inside попытайтесь обратиться на этот адрес, и посмотрите логи..

"Настройка static NAT на PIX"
Отправлено sbodikov , 19-Апр-07 09:49 
С логами достаточно сложно
Там валится все подряд нифига не найдешь нужное

Здесь я обратился к адресу https://212.109.xxx.1 из локальной сети с компьютера 10.1.1.29.

pixfirewall# sh conn | in 10.1.1.31
TCP out 10.1.1.29:2227 in 10.1.1.31:8443 idle 0:00:02 bytes 0 flags SaAB

Здесь я обратился к адресу https://212.109.xxx.1 с наружи к примеру из дома.

pixfirewall# sh conn | in 10.1.1.31
TCP out 62.141.xxx.xxx:8265 in 10.1.1.31:8443 idle 0:00:03 bytes 1535 flags UIOB
TCP out 62.141.xxx.xxx:8167 in 10.1.1.31:8443 idle 0:00:03 bytes 10502 flags UIOB