URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 6833
[ Назад ]
Исходное сообщение
"Проблема с доступом к своему серверу через Pix 525"
Отправлено dtep , 15-Дек-04 14:15 
Здравствуйте!
Имеется PIX 525, веб и прокси/ДНС сервера. Решил переместить веб сервер в ДМЗ-зону. По примерам конфигурации с цисковского сайта все настроил, все замечательно. Но есть одна проблема: я не могу зайти на веб сервер по реальному адресу из внутренней сети если использую в качестве шлюза пикс (все компы ходят через прокси с двумя интерфейсами). В логах пикса начинают сыпаться сообщения о Land attack. Подскажите, как правильно реализовать данный способ выхода?

Кусок конфига:
nameif ethernet0 outside security0  
nameif ethernet1 inside security100
nameif ethernet2 dmz security50  

ip address outside <Real-IP> 255.255.255.248
ip address inside 10.150.10.112 255.255.255.0    
ip address dmz 10.150.150.112 255.255.255.0        

access-list www permit tcp any host <Real-web-ip> eq www
access-list nat-out permit ip host 10.150.10.37 any
global (outside) 1 <Real-NAT addr>                                              
nat (inside) 1 access-list nat-out 0 0                                        
static (dmz,outside) <Real-web-ip> 10.150.150.91 netmask 255.255.255.255 0 0  
access-group www in interface outside                                          

Заранее благодарю за помощь!
Дмитрий

Содержание
Сообщения в этом обсуждении
"Проблема с доступом к своему серверу через Pix 525"
Отправлено sh_ , 16-Дек-04 10:25 
>Здравствуйте!
>Имеется PIX 525, веб и прокси/ДНС сервера. Решил переместить веб сервер в
>ДМЗ-зону. По примерам конфигурации с цисковского сайта все настроил, все замечательно.
>Но есть одна проблема: я не могу зайти на веб сервер
>по реальному адресу из внутренней сети если использую в качестве шлюза
>пикс (все компы ходят через прокси с двумя интерфейсами). В логах
>пикса начинают сыпаться сообщения о Land attack. Подскажите, как правильно реализовать
>данный способ выхода?
>
>Кусок конфига:
>nameif ethernet0 outside security0
>nameif ethernet1 inside security100
>nameif ethernet2 dmz security50
>
>ip address outside <Real-IP> 255.255.255.248
>ip address inside 10.150.10.112 255.255.255.0
>ip address dmz 10.150.150.112 255.255.255.0
>
>access-list www permit tcp any host <Real-web-ip> eq www
>access-list nat-out permit ip host 10.150.10.37 any
>global (outside) 1 <Real-NAT addr>                                              
>nat (inside) 1 access-list nat-out 0 0
>static (dmz,outside) <Real-web-ip> 10.150.150.91 netmask 255.255.255.255 0 0  
>access-group www in interface outside
>
>Заранее благодарю за помощь!
>Дмитрий


А почему не устраивает по нереальному адресу зайти?

"Проблема с доступом к своему серверу через Pix 525"
Отправлено Nailer , 16-Дек-04 10:51 
>>Здравствуйте!
>>Имеется PIX 525, веб и прокси/ДНС сервера. Решил переместить веб сервер в
>>ДМЗ-зону. По примерам конфигурации с цисковского сайта все настроил, все замечательно.
>>Но есть одна проблема: я не могу зайти на веб сервер
>>по реальному адресу из внутренней сети если использую в качестве шлюза
>>пикс (все компы ходят через прокси с двумя интерфейсами). В логах
>>пикса начинают сыпаться сообщения о Land attack. Подскажите, как правильно реализовать
>>данный способ выхода?

Знакомый сталкивался с подобной проблемой.. Пришли к мнениею, что такое поведение пикса связано с очередями обработки пакетов и nat-ом. В качестве лечения была мысль написать на исходящем интерфейсе route-map и заворачивать траффик обратно на него же, чтобы пакет попадал в input очередь и нормально натился на сервер. Но, как выяснилось позже, в софте пикса не было роут-мапов, нужна была новая версия, поэтому на эту идею забили и начали искать другое решение.

Нашли тут: http://seclists.org/lists/firewall-wizards/2003/Dec/0036.html
Сути не знаю, просто ссылку мне перекидывали.