URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 14158
[ Назад ]

Исходное сообщение
"Помогите с НАТом и PIX 525"

Отправлено alexalien , 08-Авг-07 10:37 
Есть PIX 525 c 8.0.2
Два интерфейса.
Есть один реальный ИП
Надо пронатить пользователей в инет, и прокинуть из инета smtp трафик внутрь.
Поделитесь кусочком конфига.

Содержание

Сообщения в этом обсуждении
"Помогите с НАТом и PIX 525"
Отправлено sh_ , 08-Авг-07 10:49 
nat (inside) 1 ......
global (outside) 1 interface
static (inside,outside) tcp global_IP eq 25 local_IP
access-li preved ext perm tcp any any eq 25
access-gr preved in in outside

"Помогите с НАТом и PIX 525"
Отправлено alexalien , 08-Авг-07 13:33 
>nat (inside) 1 ......
>global (outside) 1 interface
>static (inside,outside) tcp global_IP eq 25 local_IP
>access-li preved ext perm tcp any any eq 25
>access-gr preved in in outside

Не работает почему-то.
Ната нет.
Вот мой конфиг, посмотрите пожалуйста.
Result of the command: "sh run"

: Saved
:
PIX Version 8.0(2)
!
hostname router
domain-name ччч
enable password 00000000000 encrypted
names
!
interface Ethernet0
nameif Inet
security-level 0
ip address 1.1.1.6 255.255.255.252
!
interface Ethernet1
nameif Local
security-level 100
ip address 192.168.1.50 255.255.255.0
!
passwd 22 encrypted
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name уууу
access-list 100 extended permit gre any any
access-list 100 extended permit icmp any any
access-list 100 extended permit tcp any any
access-list 100 extended permit ip any any
access-list 100 extended permit udp any any
access-list Local_access_in extended permit gre any any
access-list Local_access_in extended permit ip any any
access-list Local_access_in extended permit tcp any any
access-list Local_access_in extended permit udp any any
access-list Local_access_in extended permit icmp any any
access-list preved extended permit tcp any any eq smtp
access-list Inet_nat_static extended permit tcp host 1.1.1.6 eq smtp host 192.168.1.161
pager lines 24
logging enable
logging asdm informational
mtu Inet 1500
mtu Local 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm
no asdm history enable
arp timeout 14400
global (Inet) 1 interface
nat (Local) 1 192.168.1.0 255.255.255.0
static (Local,Inet) tcp 1.1.1.6 smtp 192.168.1.161 smtp netmask 255.255.255.255
access-group preved in interface Inet
access-group Local_access_in in interface Local
route Inet 0.0.0.0 0.0.0.0 1.1.1.5 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 Local
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set myset esp-aes esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap interface Inet
crypto isakmp identity address
crypto isakmp enable Inet
crypto isakmp policy 10
authentication pre-share
encryption aes
hash md5
group 2
lifetime 86400
no crypto isakmp nat-traversal
telnet 192.168.1.0 255.255.255.0 Local
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 Local
ssh timeout 5
ssh version 2
console timeout 0
threat-detection basic-threat
threat-detection statistics
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect sqlnet
  inspect skinny  
  inspect sunrpc
  inspect xdmcp
  inspect sip  
  inspect netbios
  inspect tftp
  inspect dns
  inspect pptp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:6c272bc22a4ba85ef33a789dc7015240
: end


"Помогите с НАТом и PIX 525"
Отправлено sh_ , 08-Авг-07 14:59 
Странно. А что sh xlate показывает?
А если попробовать поменять global (Inet) 1 interface на global (Inet) 1 1.1.1.6 ?

"Помогите с НАТом и PIX 525"
Отправлено alexalien , 09-Авг-07 00:38 
>Странно. А что sh xlate показывает?
>А если попробовать поменять global (Inet) 1 interface на global (Inet) 1
>1.1.1.6 ?

Значит так, оно работает оказывается! НО!
Если в инет через нат идет один-два компа, то статик нормально внутрь сети прокидывает порты, как только НАТом начинают пользоваться серьезней, все! Статик работать перестает.

Бага? Или фича? Кто что думает по этому поводу?