URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 13329
[ Назад ]
Исходное сообщение
"static / Не понимание ...."
Отправлено Arjevitin , 13-Апр-07 12:23 
У меня есть pix515 и там есть такой код
  access-list ACL_SQUID extended permit tcp host 192.168.50.2 eq 3128 any
  static (inside,outside) tcp 192.168.50.17 80 access-list ACL_SQUID
Смысл такой что вся информация пришедшая из outside на 192.168.50.17 80 перенапрвляется на 192.168.50.2 eq 3128.

Пытаюсь разложить все по полочкам:
  static (inside,outside) tcp 192.168.50.17 80 access-list ACL_SQUID - выносим за pix ACL_SQUID
  access-list ACL_SQUID extended permit tcp host 192.168.50.2 eq 3128 any - разрешить весь трафик с 192.168.50.2 eq 3128 на все  ?????????? Вот я не дорубаю


Содержание
Сообщения в этом обсуждении
"static / Не понимание ...."
Отправлено vofffka , 13-Апр-07 13:39 
>У меня есть pix515 и там есть такой код
>  access-list ACL_SQUID extended permit tcp host 192.168.50.2 eq 3128 any
>
>  static (inside,outside) tcp 192.168.50.17 80 access-list ACL_SQUID
>Смысл такой что вся информация пришедшая из outside на 192.168.50.17 80 перенапрвляется
>на 192.168.50.2 eq 3128.
>
>Пытаюсь разложить все по полочкам:
>  static (inside,outside) tcp 192.168.50.17 80 access-list ACL_SQUID - выносим за
>pix ACL_SQUID
>  access-list ACL_SQUID extended permit tcp host 192.168.50.2 eq 3128 any
>- разрешить весь трафик с 192.168.50.2 eq 3128 на все  
>?????????? Вот я не дорубаю

можно и без acl:
static (inside,outside) tcp 192.168.50.17 80 192.168.50.2 3128 netmask 255.255.255.255

"static / Не понимание ...."
Отправлено Arjevitin , 13-Апр-07 13:57 
>
>можно и без acl:
>static (inside,outside) tcp 192.168.50.17 80 192.168.50.2 3128 netmask 255.255.255.255

у меня 192.168.50.2 - в свою очередь анализирует трафик и перенаправляет его на другой адрес WEB сервера,  так вот когда я делал static (inside,outside) tcp 192.168.50.17 80 192.168.50.2 3128 netmask 255.255.255.255 - что не работало  
а когда сделал данный вариант, все заработало (кстати сдесь подсмотрел посказку http://www.opennet.me/openforum/vsluhforumID6/12435.html)

не могу понять

permit tcp host 192.168.50.2 eq 3128 any  - как это объяснить

"static / Не понимание ...."
Отправлено vofffka , 13-Апр-07 14:22 
>>
>>можно и без acl:
>>static (inside,outside) tcp 192.168.50.17 80 192.168.50.2 3128 netmask 255.255.255.255
>
>у меня 192.168.50.2 - в свою очередь анализирует трафик и перенаправляет его
>на другой адрес WEB сервера,  так вот когда я делал
>static (inside,outside) tcp 192.168.50.17 80 192.168.50.2 3128 netmask 255.255.255.255 - что
>не работало
>а когда сделал данный вариант, все заработало (кстати сдесь подсмотрел посказку http://www.opennet.me/openforum/vsluhforumID6/12435.html)
>
>
>не могу понять
>
>permit tcp host 192.168.50.2 eq 3128 any  - как это объяснить
>


разрешить tcp запросы с этого адресса с этого порта куда угодно.

"static / Не понимание ...."
Отправлено Arjevitin , 13-Апр-07 14:57 
>>>
>>
>>permit tcp host 192.168.50.2 eq 3128 any  - как это объяснить
>>
>
>
>разрешить tcp запросы с этого адресса с этого порта куда угодно.


но это не логично он же находится в inside - на него приходят запросы
я понимаю если было бы permit tcp host any 192.168.50.2 eq 3128 - все понятно
но тут же наоборот?????

"static / Не понимание ...."
Отправлено vofffka , 13-Апр-07 15:13 
>>>>
>>>
>>>permit tcp host 192.168.50.2 eq 3128 any  - как это объяснить
>>>
>>
>>
>>разрешить tcp запросы с этого адресса с этого порта куда угодно.
>
>
>но это не логично он же находится в inside - на него
>приходят запросы
>я понимаю если было бы permit tcp host any 192.168.50.2 eq 3128
>- все понятно
>но тут же наоборот?????

Из ACL cisco берет только сетку, которую будет принимать за ту, которую надо занатить. Все логично.

А вообще команда sh nat все очень понятно описывает. Что и во что натится в смысле.

"static / Не понимание ...."
Отправлено Arjevitin , 16-Апр-07 06:48 
Спасибо. sh nat - действительно все мне объяснил