URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 4889
[ Назад ]

Исходное сообщение
"NAT на PIX для сети с одним внешним IP"
Отправлено АБ , 09-Мрт-04 11:29

Осваиваю сейчас Cisco PIX (ранее работал с Watchguard Firebox) - и наткнулся на проблему, которую не смог разрешить, перерыв кучу литературы и хелпов.
Имеется организация, у которой есть <b>один</b> постоянный внешний IP-адрес (допустим, 123.123.123.123). В локальной сети есть почтовый сервер с внутренним адресом (допустим, 192.168.0.100). Как сделать так, чтобы весь трафик, приходящий извне на 25-й порт 123.123.123.123 транслировался на внутренний адрес 192.168.0.100:25 (т.е. MX-запись домена указывает на 123.123.123.123), при этом не нарушая доступ внутренних пользователей в интернет?
В Watchguard Firebox это делается элементарно - просто в свойствах SMTP-прокси указывается "Static NAT" 123.123.123.123 -> 192.168.0.100 для входящих соединений. В литературе по Циске PIX и доках мне удалось найти только решение, при котором для создания подобной конфигурации необходим второй IP-адрес (допустим, 123.123.123.124) - делается NAT типа 123.123.123.124 -> 192.168.0.100
{static (inside,outside) 123.123.123.124 192.168.0.100 netmask 255.255.255.255 0 0}
и прописывается access-list для входящих по 25 порту
{access-list outside_access_in permit tcp host 123.123.123.124 eq smtp host 192.168.0.100 eq smtp}.
В связи с этим и вопрос - неужели в Циске PIX невозможно организовать "внутренний" почтовый сервер, если у организации есть только один внешний айпишник?
Заранее спасибо за ответ.

Содержание

NAT на PIX для сети с одним внешним IP,ВОЛКА, 12:57 , 09-Мрт-04
- NAT на PIX для сети с одним внешним IP,АБ, 14:08 , 09-Мрт-04
  - NAT на PIX для сети с одним внешним IP,ВОЛКА, 14:30 , 09-Мрт-04

Сообщения в этом обсуждении

"NAT на PIX для сети с одним внешним IP"
Отправлено ВОЛКА , 09-Мрт-04 12:57

static (inside,outside) tcp 123.123.123.124 25 192.168.0.100 25
nat (inside) 1 0 0
global (outside) 1 interface

"NAT на PIX для сети с одним внешним IP"
Отправлено АБ , 09-Мрт-04 14:08

>static (inside,outside) tcp 123.123.123.124 25 192.168.0.100 25
>nat (inside) 1 0 0
>global (outside) 1 interface
Это замечательно - но мой вопрос был именно о том, как реализовать нечто подобное при одном (!) внешнем айпишнике, который имеет организация (в моем примере - 123.123.123.123). А Ваше решение, разумеется, очень хорошо документировано Циской.

"NAT на PIX для сети с одним внешним IP"
Отправлено ВОЛКА , 09-Мрт-04 14:30

>>static (inside,outside) tcp 123.123.123.124 25 192.168.0.100 25
>>nat (inside) 1 0 0
>>global (outside) 1 interface
>
>Это замечательно - но мой вопрос был именно о том, как реализовать
>нечто подобное при одном (!) внешнем айпишнике, который имеет организация (в
>моем примере - 123.123.123.123). А Ваше решение, разумеется, очень хорошо документировано
>Циской.
это аналогично вашему....
В Watchguard Firebox это делается элементарно - просто в свойствах SMTP-прокси указывается "Static NAT" 123.123.123.123 -> 192.168.0.100 для входящих соединений. В литературе по Циске PIX и доках мне удалось найти только решение, при котором для создания подобной конфигурации необходим второй IP-адрес (допустим, 123.123.123.124) - делается NAT типа 123.123.123.124 -> 192.168.0.100