Народ, требуется помощь... существует subj ( Cisco PIX Firewall ). На внешнем ethernet0 поднята сеть x.x.1.2 netmask 255.255.255.252 и поднят дефолт x.x.1.1, на ethernet1 ( по причине наличия серверов с реальными адресами под Windows 2000 Advanced Server ) поднята сеть x.x.2.2 netmask 255.255.255.128 но ни с одного адреса x.x.2.N я не могу получить доступа наружу через циску.. она умеет это дело делать ? или она только скрывает внутреннюю сеть и выпускает ее через НАТ... если умеет, народ подскажите или скиньте более менее подробный конфиг.. заранее спасибо...
>Народ, требуется помощь... существует subj ( Cisco PIX Firewall ). На внешнем
>ethernet0 поднята сеть x.x.1.2 netmask 255.255.255.252 и поднят дефолт x.x.1.1, на
>ethernet1 ( по причине наличия серверов с реальными адресами под Windows
>2000 Advanced Server ) поднята сеть x.x.2.2 netmask 255.255.255.128 но ни
>с одного адреса x.x.2.N я не могу получить доступа наружу через
>циску.. она умеет это дело делать ? или она только скрывает
>внутреннюю сеть и выпускает ее через НАТ... если умеет, народ подскажите
>или скиньте более менее подробный конфиг.. заранее спасибо...
ну хотябы sh run или wr t для начала, а? и еще бы sh ver не помешало быили может кто-нибудь телепатией увлекается? :))
>
>или может кто-нибудь телепатией увлекается? :))
телепатия телепатией ;) но представь, что нужно с нуля все добавить;)
хотя может это не уменя глюки. но в общем примерно следующее
ip address outside 1.2.3.2 255.255.255.252
ip address inside 2.3.4.2 255.255.255.128
route outside 0.0.0.0 0.0.0.0 1.2.3.1 1
внутри адреса 2.3.4.1 , 2.3.4.3 и т.д.
>>
>>или может кто-нибудь телепатией увлекается? :))
>телепатия телепатией ;) но представь, что нужно с нуля все добавить;)
>хотя может это не уменя глюки. но в общем примерно следующее
>ip address outside 1.2.3.2 255.255.255.252
>ip address inside 2.3.4.2 255.255.255.128
>route outside 0.0.0.0 0.0.0.0 1.2.3.1 1
>внутри адреса 2.3.4.1 , 2.3.4.3 и т.д.вы наверное не понимаете
конфиг покажите, еще раз прошу
>конфиг покажите, еще раз прошу
извиняюсь... вот конфиг
PIX Version 6.1(4)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
name x.x.87.9 router
access-list outside_access_in permit ip any x.x.89.0 255.255.255.128
access-list inside_access_in permit ip x.x.89.0 255.255.255.128 any
pager lines 24
logging on
logging monitor warnings
interface ethernet0 auto
interface ethernet1 auto
icmp permit any outside
icmp permit any inside
mtu outside 1500
mtu inside 1500
ip address outside x.x.87.10 255.255.255.252
ip address inside x.x.89.2 255.255.255.128
ip audit info action alarm
ip audit attack action alarm
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
rip inside default version 1
route outside 0.0.0.0 0.0.0.0 router 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
http server enable
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat
мне сказали, что нужно, что то типа следующего
снутри наружу оно будет выходить, так как есть с клиента
подтверждение запроса, а чтобы снаружи попадало внутрь
надо писать разрешающие правила..
а где статические трансляции...?
>а где статические трансляции...?мне нат не нужен...
мне нужен реальный доступ через пиксу на реальные адреса внутрь сети...
или про что речь ?
если я не прав, то что надо сделать?
вот и пишешь....реальный адрес в реальный адрес....
>вот и пишешь....
>
>реальный адрес в реальный адрес....
static (inside,outside) x.x.89.2 x.89.2 ?
access-list OUTSIDE-IN permit ip host 2.2.2.1 host 2.2.2.1
access-group OUTSIDE-IN in interface outsideтак ?
да
>даа откуда такой странный формат что остается из 4 цыфр три последние?
ты сам то понял, чего спросил?
Вообще, PIX енто не роутер ;)
попробуй команду: nat 0 (или что-то вроде того, ща точно не помню) в режиме конфига.
и еще если подсеть на inside не одна, то делай дефаулт и внутрь
>Вообще, PIX енто не роутер ;)
>попробуй команду: nat 0 (или что-то вроде того, ща точно не помню)
>в режиме конфига.
>и еще если подсеть на inside не одна, то делай дефаулт и
>внутрьа я слышал следующее:
при отсутствии НАТ ( что у меня )
трафик пропускается следующим образом:
- пришедшее в inside интерфейс пропускается в outside интерфейс;
- пришедшее в outside интерфейс пропускается в inside интерфейс только в том
случае, если перед этим из inside в outside приходил трафик, который PIX
расценивает как установление соединения му адресами в inside сети и outside
сети.
Если нужно, чтобы какие-то соединения устанавливались из outside сети в
inside, то пишешь access-list для outside интерфейса.
>а я слышал следующее:
>при отсутствии НАТ ( что у меня )
>трафик пропускается следующим образом:
>- пришедшее в inside интерфейс пропускается в outside интерфейс;
>- пришедшее в outside интерфейс пропускается в inside интерфейс только в том
>
> случае, если перед этим из inside в outside приходил трафик,
>который PIX
> расценивает как установление соединения му адресами в inside сети и
>outside
> сети.
Так все и есть, что с nat, что без него - это принцип прохождения трафика с высокосекьюрного интерфейса на низкий (nameif ethernet1 inside security100 -> nameif ethernet0 outside security0) и наоборот!
>Если нужно, чтобы какие-то соединения устанавливались из outside сети в
> inside, то пишешь access-list для outside интерфейса.
Типа того ;) и не забудь трасляции static (inside, outside) ...ты напиши: nat (inside) 0 x.x.89.0 0.0.0.127
не надо "слышать", надо документацию читать.
>не надо "слышать", надо документацию читать.после общения с народом , я вижу две разных идеи реализации одного и тогоже, они читали разную документацию чтоли?;)
>>не надо "слышать", надо документацию читать.
>
>после общения с народом , я вижу две разных идеи реализации одного
>и тогоже, они читали разную документацию чтоли?;)а вот это вы поймете только прочитав документацию :)
>>>не надо "слышать", надо документацию читать.
>>
>>после общения с народом , я вижу две разных идеи реализации одного
>>и тогоже, они читали разную документацию чтоли?;)
>
>а вот это вы поймете только прочитав документацию :)
А у вас случайно на русском нету последней??? а то у меня итак море информации на английском;) не успеваю читать;)
>>>>не надо "слышать", надо документацию читать.
>>>
>>>после общения с народом , я вижу две разных идеи реализации одного
>>>и тогоже, они читали разную документацию чтоли?;)
>>
>>а вот это вы поймете только прочитав документацию :)
>
>
>А у вас случайно на русском нету последней??? а то у меня
>итак море информации на английском;) не успеваю читать;)Подкинь
www.cisco.com/go/pix
VolumeТут прозвучало что PIX не маршрутизатор.
Он действительно лишен функции маршрутизатора, только фильтрует и натит?
Если у него три интерфейса, он не может в зависимости от пакета посылать его в разные интерфейсы?
И откуда ты все знаешь, как искать...
>И откуда ты все знаешь, как искать...да, может
с версии 6.3 он еще может ospf, route maps, dot1qво первых на сайте есть закладки типа www.cisco.com/go/pix, www.cisco.com/go/3550
во вторых, цискин сайт постороен до определенной и довольно четкой концепции, понять ее - и найдется все
в третьих - я там каждый день просиживаю часов по 5 :)
>>И откуда ты все знаешь, как искать...
>
>да, может
>с версии 6.3 он еще может ospf, route maps, dot1q
>
>во первых на сайте есть закладки типа www.cisco.com/go/pix, www.cisco.com/go/3550
>во вторых, цискин сайт постороен до определенной и довольно четкой концепции, понять
>ее - и найдется все
>в третьих - я там каждый день просиживаю часов по 5 :)
>Хых ... кем ты работаешь если не секрет, что 5 часов в инете в течении рабочего дня для тебя не проблема ? ;-) Чесно признаюсь завидно ... ;-))
PS: ничего плохого конечно я не имел ввиду ;-)
в смысле кем? инженером. А инет это рабочий инструмент.
>в смысле кем? инженером. А инет это рабочий инструмент.Хорошо что у вас есть столько времени на повышение уровня знаний да еще в рабочее время ...
Я давно просматриваю данный форум ... и наблюдаю за поведением участников. Есть постоянные есть приходящие уходящие ...
Вопрос вам, как специалисту, и человеку, часто посещающему cisco.com:
есть у меня недоразумение с версиями IOS ... точнее непонятно мне кое что ...
У меня есть кошка 827-4v:
sh verCisco Internetwork Operating System Software
IOS (tm) C820 Software (C820-NSV6Y6-M), Version 12.2(2)T4, RELEASE SOFTWARE (fc3)
TAC Support: http://www.cisco.com/tac
Copyright (c) 1986-2002 by cisco Systems, Inc.
Compiled Sun 10-Feb-02 01:10 by yiyan
Image text-base: 0x80013170, data-base: 0x808A634CROM: System Bootstrap, Version 12.2(1r)XE2, RELEASE SOFTWARE (fc1)
taurus uptime is 17 weeks, 3 days, 7 hours, 8 minutes
System returned to ROM by power-on
System image file is "flash:c820-nsv6y6-mz.122-2.T4.bin"CISCO C827-4V (MPC855T) processor (revision 0xD01) with 23552K/1024K bytes of memory.
Processor board ID JAD063100PN (1268442241), with hardware revision 0000
CPU rev number 5
Bridging software.
4 POTS Ports
1 Ethernet/IEEE 802.3 interface(s)
1 ATM network interface(s)
128K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read/Write)Configuration register is 0x2102
немагу найти описание 12.2(2)T4 ....
неподскажете где можно найти ?
нашел кучу релизов версии 12.2 ... но именно такой нет ;-(
буду признателен6 если укажете...
http://www.cisco.com/univercd/cc/td/doc/product/software/ios...
>http://www.cisco.com/univercd/cc/td/doc/product/software/ios...Уважаемый ВОЛКА !
Спасибо за ссылку. ...
Вы дали мне ссылку на 12.2(2)T а я искал 12.2(2)Т4 если у них нет разницы, то чем объясняется различие реальной sh ver кошки, с описаным в документации ??
>>http://www.cisco.com/univercd/cc/td/doc/product/software/ios...
>
>Уважаемый ВОЛКА !
>Спасибо за ссылку. ...
>Вы дали мне ссылку на 12.2(2)T а я искал 12.2(2)Т4 если у
>них нет разницы, то чем объясняется различие реальной sh ver кошки,
>с описаным в документации ??PS: Не там дело обсуждается ...
Открываю новую тему ... если кто то сможет помочь по данному впросу мне, буду очень признателен.