Помогите разобраться с пиксом, не работает НАТ нет пинга пикс работает в режиме роутера.
Конфиг привел ниже.
Я начинающий, прочел книжку про пикс, но все равно разобраться не могу почему не работает

-----------1              A.A.A.195
1 inside 1      ----------      ---------
1   net   1-----1 PIX 1-----1 inet 1
-----------1      ----------      ---------
C.C.C.0           1
                        1 C1.C1.C1.0
                        1
               -------------
               1  DMZ  1
               -------------

PIX Version 7.2(1)
!
hostname pixfirewall
domain-name domen.ru
enable password **************** encrypted
names
!
interface Ethernet0
nameif outside
security-level 0
ip address A.A.A.195 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address C.C.C.6 255.255.255.0
!
interface Ethernet2
nameif dmz
security-level 50
ip address C1.C1.C1.1 255.255.255.0
!            
passwd ***********.***** encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name domen.ru
pager lines 24
mtu inside 1500
mtu dmz 1500
mtu outside 1500
asdm image flash:/asdm521.bin
no asdm history enable
arp timeout 14400
global (outside) 1 A.A.A.197-A.A.A.198 netmask 255.255.255.248
global (outside) 1 A.A.A.196
nat (inside) 1 C.C.C.0 255.255.255.0
static (inside,dmz) C.C.C.0 C.C.C.0 netmask 255.255.255.0
static (dmz,outside) A.A.A.195 C1.C1.C1.10 netmask 255.255.255.255
route outside 0.0.0.0 0.0.0.0 A.A.A.193 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http C.C.C.3 255.255.255.255 inside
              
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:c263e50b374c6ce009ef9c612900d0d1

• pix515e не получаеться сконфигурировать,Оптимист, 16:38 , 12-Июл-07
  • pix515e не получаеться сконфигурировать,Оптимист, 16:40 , 12-Июл-07
    • pix515e не получаеться сконфигурировать,anton_lva, 17:46 , 12-Июл-07
• pix515e не получаеться сконфигурировать,Den, 21:14 , 12-Июл-07

по идее при таком конфиге nat должен работать,
что стоит за outside - можно ли там послушать запросы при помощи tcpdump?
вообще лучше подключить логи и смотреть, что происходит,
для static нужно еще прописать access-list и access group привязать на интерфейс (у меня версия 6.3, но я думаю что access-list и в 7 сохранились.

>по идее при таком конфиге nat должен работать,
>что стоит за outside - можно ли там послушать запросы при помощи
>tcpdump?
сори tcpdump отменяется, не увидел - там видимо провайдер

>> global (outside) 1 A.A.A.196

а это зачем?

clear xlate
clear local

sh xlate

покажите

Прохождение "пингов" стоит разрешить группой разрешающих списков контроля доступа для необходимых типов icmp пакетов.

Зачем в листинге конфига дважды domain-name domen.ru? (может в pixos v7.x так надо, у меня pixos v6.3)