Привет всем цисковедам, администраторам и прочим умным людям! Прошу помочь новичку в борьбе с фаерволом Cisco PIX 501Топология простая:
Внутренняя сеть – 192.168.1.0 \ 24
Внешняя – 172.17.0.0 \ 24
Между ними и находится Cisco PIX 501
Внутренний интерфейс 192.168.1.1
Внешний 172.17.0.59Задача следующая :
Необходимо пробросить несколько портов между внутренним и внешним интерфейсом
Для этого (я так думаю) служит следующий алгоритм:
1. Настроить внешний и внутренний интерфейсы
2. Настроить маршруты
3. Настроить ACL
4. Проброс1. Первым делом кофигурю интерфейсы, получилось так:
ip address outside 172.17.0.59 255.255.255.0
ip address inside 192.168.1.1 255.255.255.02. Маршруты статические:
outside 172.17.0.0 255.255.255.0 172.17.0.59 1 CONNECT static
inside 192.168.1.0 255.255.255.0 192.168.1.1 1 CONNECT static3. Из внутренней сети пингую внешний интерфейс, а наоборот – нет, я уже понял что для этого нужно создать Access-list,
Создаю разрешить все :
access-list 1 permit ip any any
Приминяю на интерфейсы
access-group 1 in interface outside
access-group 1 in interface insideВот тут то у меня и проблема, пинги по прежнему не проходят – вроди элементарщина, а разобратся не могу, подскажите где туплю пожалуйста.
4. По поводу проброса портов - я так понял делаеться это с помощью НАТ :
hostname(config)# static (inside,outside) tcp out_addr out_port ins_addr ins_port netmask 255.255.255.255Здесь тоже могу ошибаться – просветите дремучего человека.
Конфиг пикса:
interface ethernet0 auto
ethernet1 100full
nameif ethernet0 outside security 0
nameif ethernet1 inside security100
hostname pixF
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list 1 permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 172.17.0.59 255.255.255.0
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 172.17.0.60-172.17.0.254 netmask 255.255.0.0
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 172.17.0.0 192.168.1.0 netmask 255.255.255.255 0 0
access-group 1 in interface outside
access-group 1 in interface inside
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
http 192.168.1.1 255.255.255.255 inside
http 192.168.1.3 255.255.255.255 inside
http 192.168.1.2 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.50-192.168.1.80 inside
dhcpd dns 192.168.128.3
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable inside
vpnclient mode client-mode
Из inside сети пропинговать outside интерфейс не получится.
Еще добавьте какой-нибудь маршрут аля route outside 0.0.0.0 0.0.0.0 X.X.X.X
>Из inside сети пропинговать outside интерфейс не получится.
>Еще добавьте какой-нибудь маршрут аля route outside 0.0.0.0 0.0.0.0 X.X.X.X
>Из inside сети пропинговать outside интерфейс не получится.
>Еще добавьте какой-нибудь маршрут аля route outside 0.0.0.0 0.0.0.0 X.X.X.XА в этом маршруте х.х.х.х должен быть из какой сети? 172.17.0.0 или 192.168.1.0 - или это не имеет значения?
>>Из inside сети пропинговать outside интерфейс не получится.
>>Еще добавьте какой-нибудь маршрут аля route outside 0.0.0.0 0.0.0.0 X.X.X.X
>
>А в этом маршруте х.х.х.х должен быть из какой сети?
>172.17.0.0 или 192.168.1.0 - или это не имеет значения?маршруты пишутся вида какая_сетка через_какую_сетку/ip/порт
так что естественно если добавите маршрут для outside, то напишите дефолтный маршрут типа 0.0.0.0 0.0.0.0 через ip адрес порта outside
Добавил дефолтовые маршруты:
outside 0.0.0.0 0.0.0.0 172.17.0.183
inside 0.0.0.0 0.0.0.0 192.168.1.50
Прописал аксес-листы permit icmp any any
Применил на интнрфейсы - по прежнему не пингует.Еще такой момент - хост внутренней сети, подключен к 192.168.1.1 фаервола:
ip 192.168.1.50
mask 255.255.255.0
GW:192.168.1.1 (он же inside фаервола)хост внешней сети, который подключен к 172.17.0.59 фаервола(с него я и пытаюсь пинговать 192.168.1.50):
ip 172.17.0.183
mask 255.255.255.0
GW:172.17.0.1 (шлюз для выхода в интернет)