Здравствуйте. Проблема - не могу сделать так чтобы компу, который находится в DMZ присваивался статический внешний IP. Сомнения в том как написан static. Заранее спасибо за ответы.sh run:
PIX Version 7.2(2)
!
interface Ethernet0
nameif outside
security-level 0
ip address 180.x.x.4 255.255.255.128
!
interface Ethernet1
nameif inside
security-level 100
ip address 192.168.9.1 255.255.255.0
!
interface Ethernet2
nameif dmz
security-level 100
ip address 192.168.10.1 255.255.255.0
!
access-list 100 extended permit ip any any
access-list 110 extended permit ip any any
access-list 120 extended permit ip any any
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (dmz,outside) 180.x.x.6 192.168.10.10 netmask 255.255.255.255
access-group 110 in interface outside
access-group 100 in interface inside
access-group 120 in interface dmz
route outside 0.0.0.0 0.0.0.0 180.x.x.1 1
Да вроде все намана. А с компа пингуете 192.168.10.1?
>Да вроде все намана. А с компа пингуете 192.168.10.1?Да интерфейс dmz пингуется все нормально, у компов которые за натом сидят в inside все ок.
А тут ну не знаю прямо.
А какой сервис на внешке висит? Если это почта, то надо сделать так:
>static (dmz,outside) 180.x.x.6 192.168.10.10 netmask 255.255.255.255 eq 25
>А какой сервис на внешке висит? Если это почта, то надо сделать
>так:
>>static (dmz,outside) 180.x.x.6 192.168.10.10 netmask 255.255.255.255 eq 25Да собственно пока никакого, потому и разрешен весь трафик (permit ip any any)
Программа максимум - получить инет на пк 192.168.10.10, а дальше уже наводить безопасность.
Тут уже походу в моей карме дело, потому что все по азбуке делал
>>А какой сервис на внешке висит? Если это почта, то надо сделать
>>так:
>>>static (dmz,outside) 180.x.x.6 192.168.10.10 netmask 255.255.255.255 eq 25
>
>Да собственно пока никакого, потому и разрешен весь трафик (permit ip any
>any)
>Программа максимум - получить инет на пк 192.168.10.10, а дальше уже наводить
>безопасность.
>Тут уже походу в моей карме дело, потому что все по азбуке
>делалnat и global для dmz не заданы? И, кстати, смущает одинаковый уровень security на dmz и inside. Ни в одной азбуке такого не встречал вроде...
Давайте no sysopt noproxyarp outside сделаем.Конкретнее расскажите, что не работает. Как проверяете?
>static (dmz,outside) 180.x.x.6 192.168.10.10 netmask 255.255.255.255Попробуй вот так
static (dmz,outside)interface 192.168.10.10 netmask 255.255.255.255