URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 14558
[ Назад ]

Исходное сообщение
"cisco pix 506+особенный доступ с 1 ip"

Отправлено kontrol , 30-Сен-07 22:46 
есть cisco pix 506e, смотрит в инет и локалку, всё как надо.
внеший адрес a.а.а.а, внутренний b.b.b.b
в локалке стоит web-сервер с поднятым ssl, его адрес w.w.w.w

в пиксе прописано правило допуска к этому серверу:
access-list 100 permit tcp any interface outside eq 443
access-group 100  in interface outside
static (inside,outside) tcp interface 443 w.w.w.w 443 netmask 255.255.255.255 0 0

и всё прекрасно работает, доступ со всех хостов к https://а.а.а.а есть, попадаем на внутренний сервак w.w.w.w.

внимание, уважаемые Знатоки, вопросы:
1. как сделать, чтобы при обращении с одного особенного внешнего адреса d.d.d.d к https://а.а.а.а, пакеты приходили к другому серверу в той же локалке, например e.e.e.e ?

2. как сделать, чтобы при обращении к https://а.а.а.а с другого особенного внешнего адреса f.f.f.f , открывался не пресловутый внутренний web-сервер, а интерфейс управления этим самым cisco pix?


Содержание

Сообщения в этом обсуждении
"cisco pix 506+особенный доступ с 1 ip"
Отправлено lomo , 01-Окт-07 11:14 
>
> 1. как сделать, чтобы при обращении с одного особенного внешнего адреса
> d.d.d.d к https://а.а.а.а, пакеты приходили к другому серверу в той же локалке,
> например e.e.e.e ?

static NAT можно сделать "условным" - получается типа
policy nat:

static (inside,outside) 192.168.117.10 access-list nat-office2_23-cust-0857 0 0

Это точно работает на 7.2(2). Но 7.2(2) не будет работать на 506e..

> 2. как сделать, чтобы при обращении к https://а.а.а.а с другого особенного внешнего адреса f.f.f.f ,
> открывался не пресловутый внутренний web-сервер, а интерфейс управления этим самым cisco pix

Вы лучше задачу поменяйте (и первую тоже). Откройте, например, ssh на PIX, выучите командную строку :)
Или поднимите VPN.


"cisco pix 506+особенный доступ с 1 ip"
Отправлено bmonk , 14-Фев-08 15:32 
>[оверквотинг удален]
>
>Это точно работает на 7.2(2). Но 7.2(2) не будет работать на 506e..
>
>
>> 2. как сделать, чтобы при обращении к https://а.а.а.а с другого особенного внешнего адреса f.f.f.f ,
>> открывался не пресловутый внутренний web-сервер, а интерфейс управления этим самым cisco pix
>
>Вы лучше задачу поменяйте (и первую тоже). Откройте, например, ssh на PIX,
>выучите командную строку :)
>Или поднимите VPN.

как откррыть ssh
помогите пожалуйста


"cisco pix 506+особенный доступ с 1 ip"
Отправлено lomo , 14-Фев-08 17:11 
На каком интерфейсе?
из какой сети?
В доке поиск по "ssh" делали?


Пример:

открываем доступ по ssh на внутреннем интерфейса для сети 10.23.14.0/255.255.255.0

pix(config)#ssh 10.23.14.0 255.255.255.0 inside


Если предположить что внутренний IP адрес ПИКСа на интерфейсе inside  - 10.23.14.1, то
доступаться с машины из сети 10.23.14.0/255.255.255.0 так:

$ ssh pix@10.23.14.1


"cisco pix 506+особенный доступ с 1 ip"
Отправлено intellegent , 01-Окт-07 11:35 
По протам разводить надо, т.е. https на сервере e.e.e.e должен слушать порт, отличный от 443 ну и соответствующую запись static делать.

"cisco pix 506+особенный доступ с 1 ip"
Отправлено IgorB , 07-Июн-08 17:40 
И все-таки, поставленная задача имеет решение на Cisco PIX 506E с прошивкой 6.3, или нет? Вариант разведения по портам не подходит, т.к. портов много, и заставлять кого-то помнить кучу нестандартных портов для обращения к стандартным сервисам - не получится.

Решение с ACL в команде static не получилось. Потому что выходит, что надо ввести две команды static, ссылающиеся хоть и на разные ассеss-list, но на один внешний IP. А это не получается, появляется ругань на дублирование.