URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 4572
[ Назад ]

Исходное сообщение
"PIX-VLAN-C2950-DMZ "
Отправлено Drakosha , 13-Янв-04 14:57

Имею сервак с двумя NIC и установленными winroute и mdaemon.
Выделенный xDSL канал в инет с одним IP, он заходит в одну из карточек на серваке и далее через winroute PAT и все счастливы.
Договорился с провайдером, чтоб он прописал мой единственный IP x.x.x.x как MX Host для нашего домена и все работает ок, почта на прямую приходит ко мне, но теперь достались по случаю PIX506E и C2690-12. И решил я PIX
воткнуть между xDSL модемом и C2950, но он имеет всего два интерфейса Inside и Outside. А с помощью static(inside, outside) у меня получаеться, что-то одно либо есть инет у всех но не может достучаться до меня почта 212.x.x.x:smtp либо интернет и почта работают только на mail 192.168.1.2 сервере :(
Чего хочется:
Xочется сделать обыкновенный пайп слушащий 25 порт на outside 212.x.x.x и перенаправлять его на inside 192.168.1.2:25 и чтоб AT 192.168.0/24 -> 212.x.x.x остался работоспособным.
Читал примеры организации подобных схем на CISCO, но там они все строяться с помощь выноса mail/web сервера в DMZ интерфейс.
В доке PIX по PDM6.3(1) сказано, что он поддерживает VLAN, и насколько я понял создав VLAN на PIX я могу использовать C2690-12 как расширитель портов(интерфейсов), например то же DMZ порт и управлять политикой этих портов с PIX (выглядит очень круто :))
То есть сделать static (outside, dmz) или (outside, intf5) и т.д. ?
Но с другой стороны в спецификации PIX506E черным по белому написано, что кол-во физических и логических интерфейсов равно 2.
Организовать pipe, конечно было бы проще, подскажите как это сделать?
И про идею обзавестись DMZ с помощью PIX-VLAN-C2950-DMZ тоже поделитесь насколько она верна?

Содержание

PIX-VLAN-C2950-DMZ ,ВОЛКА, 16:37 , 13-Янв-04
- PIX-VLAN-C2950-DMZ ,Drakosha, 18:02 , 14-Янв-04
PIX-VLAN-C2950-DMZ ,ВОЛКА, 16:54 , 13-Янв-04

Сообщения в этом обсуждении

"PIX-VLAN-C2950-DMZ "
Отправлено ВОЛКА , 13-Янв-04 16:37

http://www.cisco.com/en/US/products/sw/secursw/ps2120/prod_r...

"PIX-VLAN-C2950-DMZ "
Отправлено Drakosha , 14-Янв-04 18:02

>http://www.cisco.com/en/US/products/sw/secursw/ps2120/prod_r...
Спасибо! прочитал и принял к сведению:
Note: The PIX 501 and PIX 506/506E do not provide support for VLANs.
Да уж... всю малину ... испортили :(
Вообще он вроде как поддерживает VLAN так как поменять номер VLAN на каждом интерфейсе можно. Но на попытку создать новый бодро, сообщает:
> Interface limit (2) reached.
> Unable to create logical interface.
Остается догадываться о мотивах CISCO порезать функциональность девайса,
вроде как лицензии на дополнительный лог.интерфейс для PIX506 она не продает.
Вообще в политике CISCO на мой взгляд очень много непонятного, но не мне об этом судить конечно.

"PIX-VLAN-C2950-DMZ "
Отправлено ВОЛКА , 13-Янв-04 16:54

Static PAT Examples
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pi...