Доброе время суток. Вопрос в следующем. Имеется данная железка, сейчас провожу над ней эксперименты дабы ею заменить шлюз на *никс. С этой целью в интерфейс инсайд с адресом из локальной сети (10.1.1.254) воткнута локальная сеть, в аутсайд - хаб, в хаб машина с фрибсд. Аутсайд присвоен адрес 192.168.1.1, машине с фряхой - 192.168.1.2. Гетвэй на тестовой машине локальной сети - адрес инсайд пикса (10.1.1.254). Гетвэй на фряхе - 192.168.1.1 (аутсайд пикса).
На самом пиксе:static (inside,outside) tcp 192.168.1.1 ssh 10.1.1.50 ssh netmask 255.255.255.255 0 0
static (inside,outside) tcp 192.168.1.1 www 10.1.1.50 www netmask 255.255.255.255 0 0(10.1.1.50 - машина из локальной сети с web, ssh, smtp, pop)
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
global (outside) 1 192.168.1.100-192.168.1.254 netmask 255.255.255.0access-list 100; 7 elements
access-list 100 line 1 permit icmp any any echo-reply (hitcnt=31)
access-list 100 line 2 permit icmp any any time-exceeded (hitcnt=0)
access-list 100 line 3 permit icmp any any unreachable (hitcnt=0)
access-list 100 line 4 permit tcp any any eq ssh (hitcnt=12)
access-list 100 line 5 permit tcp any any eq domain (hitcnt=0)
access-list 100 line 6 permit udp any any eq domain (hitcnt=46)
access-list 100 line 7 permit tcp any any eq www (hitcnt=14)access-list 101; 2 elements
access-list 101 line 1 permit tcp any any (hitcnt=2)
access-list 101 line 2 permit ip any any (hitcnt=0)access-group 100 in interface outside
access-group 101 in interface insideПри всем при этом обращения изнутри сети на машину с фряхой (на интерфейсе аутсайд) проходят без проблем. Ссш, пинги и тп, все что душе угодно. При попытке с фряхи обратиться к www или ssh на 192.168.1.1 на фряхе все висит а потом вылетает по таймауту. На пиксе при этом в аксес-листах счетчики накручиваются и появляются следующие логи:
305011: Built static TCP translation from inside:10.1.1.50/80 to outside:192.168.1.1/80
302013: Built inbound TCP connection 216 for outside:192.168.1.2/54843(192.168.1.2/54843) to inside:10.1.1.50/80 (192.168.1.1/80)
302013: Built inbound TCP connection 217 for outside:192.168.1.2/60362(192.168.1.2/60362) to inside:10.1.1.50/80 (192.168.1.1/80)
302014: Teardown TCP connection 216 for outside:192.168.1.2/54843 to inside:10.1.1.50/80 duration 0:02:01 bytes 0 SYN Timeout
302013: Built inbound TCP connection 218 for outside:192.168.1.2/52875(192.168.1.2/52875) to inside:10.1.1.50/80 (192.168.1.1/80)
302014: Teardown TCP connection 217 for outside:192.168.1.2/60362 to inside:10.1.1.50/80 duration 0:02:01 bytes 0 SYN Timeout
302014: Teardown TCP connection 218 for outside:192.168.1.2/52875 to inside:10.1.1.50/80 duration 0:02:01 bytes 0 SYN Timeout
305012: Teardown static TCP translation from inside:10.1.1.50/80 to outside:192.168.1.1/80 duration 0:04:36Уже иссякла всяческая фантазия на тему что не так... Кто чем может...
А сделайте вот так.no static (inside,outside) tcp 192.168.1.1 ssh 10.1.1.50 ssh netmask 255.255.255.255 0 0
no static (inside,outside) tcp 192.168.1.1 www 10.1.1.50 www netmask 255.255.255.255 0 0static (inside,outside) tcp 192.168.1.3 ssh 10.1.1.50 ssh netmask 255.255.255.255 0 0
static (inside,outside) tcp 192.168.1.3 www 10.1.1.50 www netmask 255.255.255.255 0 0
>А сделайте вот так.
>
>no static (inside,outside) tcp 192.168.1.1 ssh 10.1.1.50 ssh netmask 255.255.255.255 0 0
>
>no static (inside,outside) tcp 192.168.1.1 www 10.1.1.50 www netmask 255.255.255.255 0 0
>
>
>static (inside,outside) tcp 192.168.1.3 ssh 10.1.1.50 ssh netmask 255.255.255.255 0 0
>static (inside,outside) tcp 192.168.1.3 www 10.1.1.50 www netmask 255.255.255.255 0 0Это никак не повлияло на ситуацию...
>[оверквотинг удален]
>0 SYN Timeout
>302013: Built inbound TCP connection 218 for outside:192.168.1.2/52875(192.168.1.2/52875) to inside:10.1.1.50/80 (192.168.1.1/80)
>302014: Teardown TCP connection 217 for outside:192.168.1.2/60362 to inside:10.1.1.50/80 duration 0:02:01 bytes
>0 SYN Timeout
>302014: Teardown TCP connection 218 for outside:192.168.1.2/52875 to inside:10.1.1.50/80 duration 0:02:01 bytes
>0 SYN Timeout
>305012: Teardown static TCP translation from inside:10.1.1.50/80 to outside:192.168.1.1/80 duration 0:04:36
>
>Уже иссякла всяческая фантазия на тему что не так... Кто чем может...
>Покажите настройки на интерфейсах inside и outside, особенно интересует параметр security-level.
>[оверквотинг удален]
>>302014: Teardown TCP connection 217 for outside:192.168.1.2/60362 to inside:10.1.1.50/80 duration 0:02:01 bytes
>>0 SYN Timeout
>>302014: Teardown TCP connection 218 for outside:192.168.1.2/52875 to inside:10.1.1.50/80 duration 0:02:01 bytes
>>0 SYN Timeout
>>305012: Teardown static TCP translation from inside:10.1.1.50/80 to outside:192.168.1.1/80 duration 0:04:36
>>
>>Уже иссякла всяческая фантазия на тему что не так... Кто чем может...
>>
>
>Покажите настройки на интерфейсах inside и outside, особенно интересует параметр security-level.а заодно скажите версию операционки...
>[оверквотинг удален]
>>>302014: Teardown TCP connection 218 for outside:192.168.1.2/52875 to inside:10.1.1.50/80 duration 0:02:01 bytes
>>>0 SYN Timeout
>>>305012: Teardown static TCP translation from inside:10.1.1.50/80 to outside:192.168.1.1/80 duration 0:04:36
>>>
>>>Уже иссякла всяческая фантазия на тему что не так... Кто чем может...
>>>
>>
>>Покажите настройки на интерфейсах inside и outside, особенно интересует параметр security-level.
>
>а заодно скажите версию операционки...Пишу по памяти из дома)
ethernet0 outside security level 0 ip address 192.168.1.1 netmask 255.255.255.0 line protocol up 100000 kb full duplex
ethernet1 inside security level 100 ip address 10.1.1.254 netmask 255.0.0.0 line protocol up 100000 kb full duplexIOS 6.3(4)
В конце дня, после камланий с бубном над аксес листами, сам не знаю как заработало ссш снаружи внутрь, поменял ip в static чтобы попробовать с другим компом, все вернулось на круги своя, вернул обратно как было, когда работало, но больше не заработало... мистика...
>[оверквотинг удален]
>up 100000 kb full duplex
>ethernet1 inside security level 100 ip address 10.1.1.254 netmask 255.0.0.0 line protocol
>up 100000 kb full duplex
>
>IOS 6.3(4)
>
>В конце дня, после камланий с бубном над аксес листами, сам не
>знаю как заработало ссш снаружи внутрь, поменял ip в static чтобы
>попробовать с другим компом, все вернулось на круги своя, вернул обратно
>как было, когда работало, но больше не заработало... мистика...Мой совет, добавьте туда памяти (там обычная планка памяти 128 мегабайт нужна) и обновитесь до 8-й версии, 6.3 уже неактуально...
Вообще, не помню как в 6.3, а начиная с 7-й версии в аксес-листах есть параметр extended, который идет после permit....
Так вот, на 7-ке и 8-ке, когда используется расширенный список доступа, то все работает прекрасно, сам с 515-й недавно настраивал...
А вот чего нехватает в версии 6.3 - трудно сказать... вроде бы в целом все правильно... попробуйте писать в аксес-листах не от any к any, а от any к конкретному адресу, который через статик выставляется...
>[оверквотинг удален]
>Мой совет, добавьте туда памяти (там обычная планка памяти 128 мегабайт нужна)
>и обновитесь до 8-й версии, 6.3 уже неактуально...
>Вообще, не помню как в 6.3, а начиная с 7-й версии в
>аксес-листах есть параметр extended, который идет после permit....
>Так вот, на 7-ке и 8-ке, когда используется расширенный список доступа, то
>все работает прекрасно, сам с 515-й недавно настраивал...
>А вот чего нехватает в версии 6.3 - трудно сказать... вроде бы
>в целом все правильно... попробуйте писать в аксес-листах не от any
>к any, а от any к конкретному адресу, который через статик
>выставляется...И статик попробуйте написать не так:
static (inside,outside) tcp 192.168.1.3 ssh 10.1.1.50 ssh netmask 255.255.255.255 0 0
а просто так:
static (inside,outside) 192.168.1.3 10.1.1.50 netmask 255.255.255.255 0 0
>аксес-листах есть параметр extended, который идет после permit....*перед permit, описался просто.
А на машине 10.1.1.50 есть firewall? А что в момент попытки установить соединение с хостом 10.1.1.50 на пиксе показывает команда sh xlate?
>А на машине 10.1.1.50 есть firewall? А что в момент попытки установить
>соединение с хостом 10.1.1.50 на пиксе показывает команда sh xlate?теперь 10.1.1.50 будем называть 10.1.50.2 это роли не играет. Машина линуксовая фаервола нет.
sh xlate
PAT Global 192.168.1.3(22) Local 10.1.50.2(22)
Global 192.168.1.101 Local 10.1.50.8
>А на машине 10.1.1.50 есть firewall? А что в момент попытки установить
>соединение с хостом 10.1.1.50 на пиксе показывает команда sh xlate?если что 10.1.50.8 - это машина внутренней сети с которой я подключаюсь по ssh на 192.168.1.2 чтобы оттуда уже по ssh подключиться на что-нибудь еще во внутренней сети))
Итак, проблема решена! Залил IOS 7.2(2) и все заработало! Спасибо всем, принявшим участие. Вот рабочие конфиги:Current IP Addresses:
Interface Name IP address Subnet mask
Method
Ethernet0 outside 192.168.1.1 255.255.255.0
CONFIG
Ethernet1 inside 10.1.1.254 255.0.0.0
CONFIGstatic (inside,outside) tcp 192.168.1.3 ssh 10.1.1.50 ssh netmask 255.255.255.255
static (inside,outside) tcp 192.168.1.3 www 10.1.1.50 www netmask 255.255.255.255access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)alert-interval 300
access-list from_out; 3 elements
access-list from_out line 1 extended permit icmp any any (hitcnt=2) 0xaa29b821
access-list from_out line 2 extended permit tcp any host 192.168.1.3 eq ssh (hitcnt=3) 0x5f1af284
access-list from_out line 3 extended permit tcp any host 192.168.1.3 eq www (hitcnt=1) 0xf6dca64daccess-group from_out in interface outside
nat (inside) 1 0.0.0.0 0.0.0.0
global (outside) 1 192.168.1.3
при этом есть доступ всем изнутри наружу по всем портам и всем снаружи внутрь по ссш и ввв на 192.168.1.3 (10.1.1.50)