Имеется корп. сеть 10.10.0.0/16
pix поставил м\д корп.сетью 10.10.0.0/16 и своей сетью 10.10.10.0/24 в роли фаевола(отрубить ICMP, RIP, OSPF и прочую лабуду)
В данной топологии мне NAT не нужен. Все адреса фейковые , не интернетовские, "внутренние".
Соответственно, натить адреса не нужно!
no nat не прокатывает. Видимо, pixa зашита на предмета NAT`a?
Прочитал в мануле "Two Interfaces Without NAT or PAT"
ставлю
ip address outside 10.10.50.9 255.255.255.0 (воткнут в маршрутизатор у связистов с ip 10.10.50.1)
ip address inside 10.10.10.12 255.255.255.0 (моя сеть)
nat (inside) 0 10.10.50.9 255.255.255.0
route outside 0.0.0.0 0.0.0.0 10.10.50.1 1
ну, и, соответственные ACL`ы (для проверки - открыто все).
access-list outside_access_in permit ip any any
access-list inside_access_in permit ip any any
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
=======cut============
name 10.10.1.1 OUT_MAIL
name 10.10.10.2 IN_VIRT_NS
======end cut ========в логах пишется
%PIX-3-305005: No translation group found for udp src outside:OUT_MAIL/53 dst inside:IN_VIRT_NS/53
???? UDP domain(53) открыто в ACL`ах????
Читаю в мануале :
Error Message %PIX-3-305005:
Explanation: A packet does not match any of the outbound nat rules.
Recommended Action: This message signals a configuration error. If dynamic NAT is desired for the
source host, ensure that the nat command matches the source IP address. If static NAT is desired for
the source host, ensure that the local IP address of the static command matches. If no NAT is desired
for the source host, check the ACL bound to the nat 0 ACL.Т.е. пакет не знает куда ему идти снаружи с ip 10.10.1.1 к внутрь 10.10.10.2!
"If no NAT is desired for the source host, check the ACL bound to the nat 0 ACL."
т.е. если NAT не нужен для источника (а он и не нужен мне), проверте, чтобы в NAT`е был 0 (он есть!)может надо
nat (outside) 0 10.10.10.12 255.255.255.0 ????
но когда я его добавляю ч\з web-морду т.н. PDM циска жутко ругается! Почему?так тоже пробовал:
nat (outside) 0 0.0.0.0 0.0.0.0 0 0
nat (inside) 0 0.0.0.0 0.0.0.0 0 0Что надо сделать, подскажите, плз! С фаеволами дел не имел :(
Почему нельзя тупо написАть no nat?....
Заранее, спасибо!
>Имеется корп. сеть 10.10.0.0/16
>pix поставил м\д корп.сетью 10.10.0.0/16 и своей сетью 10.10.10.0/24 в роли фаевола(отрубить
>ICMP, RIP, OSPF и прочую лабуду)
>В данной топологии мне NAT не нужен. Все адреса фейковые , не
>интернетовские, "внутренние".
>Соответственно, натить адреса не нужно!
>no nat не прокатывает. Видимо, pixa зашита на предмета NAT`a?
>Прочитал в мануле "Two Interfaces Without NAT or PAT"
>ставлю
>ip address outside 10.10.50.9 255.255.255.0 (воткнут в маршрутизатор у связистов с ip
>10.10.50.1)
>ip address inside 10.10.10.12 255.255.255.0 (моя сеть)
>nat (inside) 0 10.10.50.9 255.255.255.0
>route outside 0.0.0.0 0.0.0.0 10.10.50.1 1
>ну, и, соответственные ACL`ы (для проверки - открыто все).
>access-list outside_access_in permit ip any any
>access-list inside_access_in permit ip any any
>access-group outside_access_in in interface outside
>access-group inside_access_in in interface inside
>=======cut============
>name 10.10.1.1 OUT_MAIL
>name 10.10.10.2 IN_VIRT_NS
>======end cut ========
>
>в логах пишется
>
>%PIX-3-305005: No translation group found for udp src outside:OUT_MAIL/53 dst inside:IN_VIRT_NS/53
>
>???? UDP domain(53) открыто в ACL`ах????
>
>Читаю в мануале :
>Error Message %PIX-3-305005:
>Explanation: A packet does not match any of the outbound nat rules.
>
>Recommended Action: This message signals a configuration error. If dynamic NAT is
>desired for the
>source host, ensure that the nat command matches the source IP address.
>If static NAT is desired for
>the source host, ensure that the local IP address of the static
>command matches. If no NAT is desired
>for the source host, check the ACL bound to the nat 0
>ACL.
>
>Т.е. пакет не знает куда ему идти снаружи с ip 10.10.1.1 к
>внутрь 10.10.10.2!
>"If no NAT is desired for the source host, check the ACL
>bound to the nat 0 ACL."
>т.е. если NAT не нужен для источника (а он и не нужен
>мне), проверте, чтобы в NAT`е был 0 (он есть!)
>
>может надо
>
>nat (outside) 0 10.10.10.12 255.255.255.0 ????
>но когда я его добавляю ч\з web-морду т.н. PDM циска жутко ругается!
>Почему?
>
>так тоже пробовал:
>nat (outside) 0 0.0.0.0 0.0.0.0 0 0
>nat (inside) 0 0.0.0.0 0.0.0.0 0 0
>
>Что надо сделать, подскажите, плз! С фаеволами дел не имел :(
>
>Почему нельзя тупо написАть no nat?....
>
>Заранее, спасибо!
Попробуйте вот так, я правда в pix-ах не силён
pix(config)interface FastEthernet0/0
pix(config-if)no ip nat outside либо insideто есть набирать набирать команду no ip nat в режиме конфигурации интерфейса, на котором она висит
>Попробуйте вот так, я правда в pix-ах не силён
>pix(config)interface FastEthernet0/0
>pix(config-if)no ip nat outside либо inside
>
>то есть набирать набирать команду no ip nat в режиме конфигурации интерфейса,
>на котором она висит
набрал. Пикса "проглотила" эти комманды (на outside & inside)? но ... ничего не изменилось :(
Ошибка по всем ip одна и та же 305005
>>Попробуйте вот так, я правда в pix-ах не силён
>>pix(config)interface FastEthernet0/0
>>pix(config-if)no ip nat outside либо inside
>>
>>то есть набирать набирать команду no ip nat в режиме конфигурации интерфейса,
>>на котором она висит
>набрал. Пикса "проглотила" эти комманды (на outside & inside)? но ... ничего
>не изменилось :(
>Ошибка по всем ip одна и та же 305005а если попробывать
no nat-control
?
>а если попробывать
>no nat-control
нет такой команды nat-control :(
>access-list outside_access_in permit ip any any
>access-list inside_access_in permit ip any any
>access-group outside_access_in in interface outside
>access-group inside_access_in in interface insideЕсли в качестве теста, то добавьте к вышеприведенным листам
nat (inside) 0 access-list no_nat
access-list no_nat permit ip any any+ Проверьте что нету никаких других директив nat и global
>
>Почему нельзя тупо написАть no nat?....
по определению (архитектуре данного устройства)
>
>>access-list outside_access_in permit ip any any
>>access-list inside_access_in permit ip any any
>>access-group outside_access_in in interface outside
>>access-group inside_access_in in interface inside
>
>Если в качестве теста, то добавьте к вышеприведенным листам
>nat (inside) 0 access-list no_nat
>access-list no_nat permit ip any any
>
>+ Проверьте что нету никаких других директив nat и global
>
>>
>>Почему нельзя тупо написАть no nat?....
>по определению (архитектуре данного устройства)Ну, тогда все логично: на PIXe пакет не может пройти без какого-либо действия с ним. Предыдущий человек описал nat 0, который не натит, но применяет действие над пакетов.
Хотя странно, у меня и на PIX515 и на ASA 5505/5510/5520 есть команды no nat-control, которые позволяют пропустить пакет без действий над ними.
>
>>access-list outside_access_in permit ip any any
>>access-list inside_access_in permit ip any any
>>access-group outside_access_in in interface outside
>>access-group inside_access_in in interface inside
>
>Если в качестве теста, то добавьте к вышеприведенным листам
>nat (inside) 0 access-list no_nat
>access-list no_nat permit ip any anyИдея ясна! Протестирую. Спасибо!
>Если в качестве теста, то добавьте к вышеприведенным листам
>nat (inside) 0 access-list no_nat
>access-list no_nat permit ip any any
>Вообщем, заработало со след. nat
static (inside,outside) 10.10.10.0 10.10.10.0 netmask 255.255.255.0 0 0Вот такая чушь.
nat (inside) 0 access-list no_nat пока не пробовал. Pixa в рабочем режиме уже. Тестировать "опасно" ;)