Всем привет, запускаю pix... и столкнулся с такой проблемкой...
Схема сети:
LAN(Sec.level 100)---PIX---Провайдер(Sec.level 0)
|
FTP_Server(Sec.level 50)Есть один глобальный IP, который используется для выходя в интернет.
Задача: настроить NAT т.о., чтобы был доступ на FTP_Server извне, а также из LAN по глобальному адресу.Вот выдержка из конфига:
nat-control
global (outside) 1 interface //глобальный адрес
nat (inside) 1 LAN 255.255.255.0 //PAT для выходя в интернет из LAN
nat (intf2_DMZ) 1 192.168.3.0 255.255.255.0 //PAT для выходя в интернет из FTP_Server
//Статический нат для подключения к FTP извне
static (intf2_DMZ,outside) tcp interface ftp-data 192.168.3.5 ftp-data netmask 255.255.255.255
static (intf2_DMZ,outside) tcp interface ftp 192.168.3.5 ftp netmask 255.255.255.255
//Статический нат для подключения к FTP из LAN
static (intf2_DMZ,inside) tcp Х.Х.Х.Х ftp-data 192.168.3.5 ftp-data netmask 255.255.255.255
static (intf2_DMZ,inside) tcp Х.Х.Х.Х ftp 192.168.3.5 ftp netmask 255.255.255.255*где 192.168.3.5 - внутренний адрес FTP
X.X.X.X - глобальный адреспо сути извне доступ есть, а вот из LAN на FTP - нет, хотя все соответствующие разрешения на интерфейсах прописаны.
Не могу понять, что неправильно?
>Правильная схема сети:
> FTP_Server(Sec.level 50) ПОДКЛЮЧЕН К ОТДЕЛЬНОМУ ИНТЕРФЕйСУ PIX-a
неужели ни у кого нет никаких мыслей... (это типа ап-п-п)
Имхо, когда ты стучишься из лана на Х.Х.Х.Х у тебя трафик проходит через натовское правило, т.к. для пикса Х.Х.Х.Х - аутсайд. Попробуй сделать правило нат 0 для трафика из лана на Х.Х.Х.Х. Может поможет.
>Имхо, когда ты стучишься из лана на Х.Х.Х.Х у тебя трафик проходит
>через натовское правило, т.к. для пикса Х.Х.Х.Х - аутсайд. Попробуй сделать
>правило нат 0 для трафика из лана на Х.Х.Х.Х. Может поможет.
>даже если заменить Х.Х.Х.Х на Y.Y.Y.Y(когда стучишься из лана) все равно не проходит!
Y.Y.Y.Y - это что? Локальный адрес сервака? Кстати, что у тебя с секьюрити левелами? ACL? может в этом собака порылась?
>Y.Y.Y.Y - это что? Локальный адрес сервака? Кстати, что у тебя с
>секьюрити левелами? ACL? может в этом собака порылась?вот вроде все проверял, все нормально... чуть позже выложу весь конфиг... он в принципе простой
>>Y.Y.Y.Y - это что? Локальный адрес сервака? Кстати, что у тебя с
>>секьюрити левелами? ACL? может в этом собака порылась?вот сам конфиг:
pixfirewall# sh run
: Saved
:
PIX Version 7.2(4)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password ZZZZZZZZZZZZ encrypted
passwd ZZZZZZZZZZZ encrypted
names
name 192.168.2.0 LAN
dns-guard
!
interface Ethernet0
nameif outside
security-level 0
pppoe client vpdn group pppoe-ddn
ip address pppoe setroute
ospf cost 10
!
interface Ethernet1
nameif inside
security-level 100
ip address 192.168.2.2 255.255.255.0
ospf cost 10
!
interface Ethernet2
description Server Web-Media
nameif intf2_DMZ
security-level 50
ip address 192.168.3.1 255.255.255.0
ospf cost 10
!
interface Ethernet3
shutdown
nameif intf3
security-level 6
no ip address
ospf cost 10
!
interface Ethernet4
shutdown
nameif intf4
security-level 8
no ip address
ospf cost 10
!
interface Ethernet5
nameif intf5
security-level 100
ip address 192.168.10.1 255.255.255.0
ospf cost 10
management-only
!
boot system flash:/pix724.bin
ftp mode passive
clock timezone SAMST 4
clock summer-time SAMDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup outside
dns server-group DefaultDNS
name-server 1.1.0.1
name-server 1.1.1.1
domain-name default.domain.invalid
same-security-traffic permit intra-interface
object-group service dns udp
port-object eq domain
access-list 100 extended permit tcp any any eq ssh
access-list 100 extended permit tcp any host X.X.X.53 eq www
access-list 100 extended permit tcp any host X.X.X.53 eq https
access-list 100 extended permit tcp any host X.X.X.53 eq ftp
access-list 100 extended permit tcp any host X.X.X.53 eq ftp-data
access-list inside_access_in_1 extended permit udp any any eq domain
access-list inside_access_in_1 extended permit tcp any any eq https
access-list inside_access_in_1 extended permit tcp any any eq www
access-list inside_access_in_1 extended permit tcp any any eq ftp
access-list inside_access_in_1 extended permit tcp any any eq ftp-data
access-list inside_access_in_1 extended permit tcp any host 192.168.2.37
access-list inside_access_in_1 extended permit tcp host 192.168.2.37 any
access-list intf2_DMZ_access_in extended permit tcp host 192.168.3.5 any eq www
access-list intf2_DMZ_access_in extended permit tcp host 192.168.3.5 any eq https
access-list intf2_DMZ_access_in extended permit tcp any any eq ftp
access-list intf2_DMZ_access_in extended permit tcp any any eq ftp-data
access-list intf2_DMZ_access_in remark DNS
access-list intf2_DMZ_access_in extended permit udp any any eq domain
pager lines 24
logging enable
logging buffered errors
logging trap notifications
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu intf2_DMZ 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any outside
icmp permit any inside
icmp permit any intf2_DMZ
asdm image flash:/asdm-524.bin
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 1 LAN 255.255.255.0
nat (intf2_DMZ) 1 192.168.3.0 255.255.255.0
static (intf2_DMZ,outside) tcp interface ftp-data 192.168.3.5 ftp-data netmask 255.255.255.255
static (intf2_DMZ,outside) tcp interface ftp 192.168.3.5 ftp netmask 255.255.255.255
static (intf2_DMZ,inside) tcp X.X.X.53 ftp-data 192.168.3.5 ftp-data netmask 255.255.255.255
static (intf2_DMZ,inside) tcp X.X.X.53 ftp 192.168.3.5 ftp netmask 255.255.255.255
access-group 100 in interface outside
access-group inside_access_in_1 in interface inside
access-group intf2_DMZ_access_in in interface intf2_DMZ
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
aaa authentication ssh console LOCAL
aaa authentication enable console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
http 0.0.0.0 0.0.0.0 outside
http 192.168.10.0 255.255.255.0 intf5
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp authentication linkup linkdown coldstart
no sysopt connection permit-vpn
telnet 0.0.0.0 0.0.0.0 outside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 12
console timeout 0
vpdn group pppoe-ddn request dialout pppoe
vpdn group pppoe-ddn localname domdn
vpdn group pppoe-ddn ppp authentication pap
vpdn username domdn password ********* store-local
dhcpd ping_timeout 750
!
username admin password h04ZTQoalVSgn73/ encrypted privilege 15
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect http
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect icmp
inspect icmp error
inspect snmp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:bef75ea129930d1b641f86c2eee1d135
: end
pixfirewall#
to gagner... твое мнение?