Я пытаюсь откофигурировать PIX 515 с тремя интерфейсами.
На внешнем интерфейсе у меня реальная сеть - 111.222.333.0/24
На первом внутреннем фейк (DMZ) - 192.168.1.0/24
На втором тоже фейк (internal) - 192.168.2.0/24Доступ из инета в первую фейковую сетку (DMZ) идет через статический NAT, так что каждому реальному адресу внешней сети соответствует адрес первой
фейковой сети :
111.222.333.1 -> 192.168.1.1
111.222.333.2 -> 192.168.1.2
* * * * *
111.222.333.n -> 192.168.1.nВторая сетка (internal) просто ходит в инет через динамический NAT на этом PIX.
Это у меня работает.Теперь нужно, чтобы из внутренней сетки (internal) можно было обращаться к хостам сетки DMZ по их _внешним_ адресам.
То есть что, нужно прописывать NAT между интерфейсами внутренних сетей?
Каким образом? Указывать внешний IP на внутреннем интерфейсе?Помогите пожалуйста разобраться, потому что я не нашел нигде примера.
>Я пытаюсь откофигурировать PIX 515 с тремя интерфейсами.
>На внешнем интерфейсе у меня реальная сеть - 111.222.333.0/24
>На первом внутреннем фейк (DMZ) - 192.168.1.0/24
>На втором тоже фейк (internal) - 192.168.2.0/24
>
>Доступ из инета в первую фейковую сетку (DMZ) идет через статический NAT,
>так что каждому реальному адресу внешней сети соответствует адрес первой
>фейковой сети :
>111.222.333.1 -> 192.168.1.1
>111.222.333.2 -> 192.168.1.2
> *
>* * * *
>111.222.333.n -> 192.168.1.n
>
>Вторая сетка (internal) просто ходит в инет через динамический NAT на этом
>PIX.
>Это у меня работает.
>
>Теперь нужно, чтобы из внутренней сетки (internal) можно было обращаться к хостам
>сетки DMZ по их _внешним_ адресам.
>То есть что, нужно прописывать NAT между интерфейсами внутренних сетей?
>Каким образом? Указывать внешний IP на внутреннем интерфейсе?
>
>Помогите пожалуйста разобраться, потому что я не нашел нигде примера.есть примеры на циско.ком
плохо ищете
Возможно мой вопрос глуп, и основывается на непонимании работы с CISCO. Да, я не сильно опытен в работе CISCO, но привык решать проблемы сам. Если я прошу помощи, это значит, что я не смог сам найти решения и обращаюсь к сообществу как к последней возможности. Да собственно я и не просил разжевать и в рот положить или решить проблему за меня, мне достаточно ссылки на хороший пример, по которому я смогу разобраться. Жаль, но в ответ только отмахнулись. Спасибо хоть что не дали просто ссылку на googl.
Мне нужно перенаправить входящие из инета пакеты на порт 1352 в другой порт но на локальной машине. Я пишу вот это:[root@localhost sbin]# iptables -t nat -A PREROUTING -p tcp -d 81.30.192.36 --dport 1352 -j DNAT --to-destination 192.168.1.2:1352
И мне он выдает вот это:
/lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz: init_module:
Device or resource busy
Hint: insmod errors can be caused by incorrect module parameters, including invalid IO or IRQ parameters
modprobe: insmod /lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz failed
modprobe: insmod ip_tables failed
iptables v1.2.5: can't initialize iptables table `nat': iptables who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.Что делать и как? Если можно то поподробнее я с линуксом знаком не давно и едро пересобирать не умею.
>Мне нужно перенаправить входящие из инета пакеты на порт 1352 в другой
>порт но на локальной машине. Я пишу вот это:
>
>[root@localhost sbin]# iptables -t nat -A PREROUTING -p tcp -d 81.30.192.36 --dport
>1352 -j DNAT --to-destination 192.168.1.2:1352
>
>И мне он выдает вот это:
>
>/lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz: init_module:
>Device or resource busy
>Hint: insmod errors can be caused by incorrect module parameters, including invalid
>IO or IRQ parameters
>modprobe: insmod /lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz failed
>modprobe: insmod ip_tables failed
>iptables v1.2.5: can't initialize iptables table `nat': iptables who? (do you need
>to insmod?)
>Perhaps iptables or your kernel needs to be upgraded.
>
>Что делать и как? Если можно то поподробнее я с линуксом знаком
>не давно и едро пересобирать не умею.
не проще ли сделать static adress на PIX-е и все пакеты приходящие на этот статик на нужный порт перенаправлять на локальную машину
>>Мне нужно перенаправить входящие из инета пакеты на порт 1352 в другой
>>порт но на локальной машине. Я пишу вот это:
>>
>>[root@localhost sbin]# iptables -t nat -A PREROUTING -p tcp -d 81.30.192.36 --dport
>>1352 -j DNAT --to-destination 192.168.1.2:1352
>>
>>И мне он выдает вот это:
>>
>>/lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz: init_module:
>>Device or resource busy
>>Hint: insmod errors can be caused by incorrect module parameters, including invalid
>>IO or IRQ parameters
>>modprobe: insmod /lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz failed
>>modprobe: insmod ip_tables failed
>>iptables v1.2.5: can't initialize iptables table `nat': iptables who? (do you need
>>to insmod?)
>>Perhaps iptables or your kernel needs to be upgraded.
>>
>>Что делать и как? Если можно то поподробнее я с линуксом знаком
>>не давно и едро пересобирать не умею.
>
>
>не проще ли сделать static adress на PIX-е и все пакеты приходящие
>на этот статик на нужный порт перенаправлять на локальную машинуСоветы конечно хорошо довать но вот как это зделать?
PIX это наверное IPX?
А какой командой и в каком файле это сделать?
Вообщем вот вам еще три вопроса так что дерзайте!
Заранее прошу извенения за такие не удобства.