URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 7032
[ Назад ]

Исходное сообщение
"помогите,плз, настроить нат на PIX-515 "
Отправлено AMG , 19-Янв-05 11:50

Привет всем! как на PIX-515 настроить след.

нужно натом выставить, чтобы адреса
10.36.28.17
10.36.28.23
транслировались в себя же. НО одновременно надо, чтобы порт 25 10.36.28.17 транслировался в 25 порт 10.36.28.23
указываю так
static (inside,internet) tcp 10.36.28.23 smtp 10.36.28.17 smtp netmask 255.255.255.255
static (inside,internet) tcp 10.36.28.23 www 10.36.28.23 www netmask 255.255.255.255
25 порт транслируется на ура, но вот обяз. надо, чтобы все остальное(все остальные порты) шли как есть. т.е. любой порт 17-ый адреса в 17 и 23-го в 23!
когда пишешь
static (inside,internet)10.36.28.23 10.36.28.23 netmask 255.255.255.255
он есс-но конфликтует с существ. статиком и перестает работать трансляция 25 порта.
вообщем, уже кучу вариантов перепробовал, и с nat(0) и так и сяк.... не получается!!!

на фре IPnat-ом это выставляется в 6 секунд. Но надо на пиксе.

ПоМОГИТЕ,ПЛЗ!
СПАСИБО!

Содержание

помогите,плз, настроить нат на PIX-515 ,sh_, 12:01 , 19-Янв-05
- помогите,плз, настроить нат на PIX-515 ,AMG, 12:17 , 19-Янв-05

Сообщения в этом обсуждении

"помогите,плз, настроить нат на PIX-515 "
Отправлено sh_ , 19-Янв-05 12:01

>static (inside,internet) tcp 10.36.28.23 smtp 10.36.28.17 smtp netmask 255.255.255.255
>static (inside,internet) tcp 10.36.28.23 www 10.36.28.23 www netmask 255.255.255.255
плюс
access-list fuck permit ip 10.36.28.17 255.255.255.255 any
access-list fuck permit ip 10.36.28.23 255.255.255.255 any
nat (inside) 0 access-list fuck

"помогите,плз, настроить нат на PIX-515 "
Отправлено AMG , 19-Янв-05 12:17

>>static (inside,internet) tcp 10.36.28.23 smtp 10.36.28.17 smtp netmask 255.255.255.255
>>static (inside,internet) tcp 10.36.28.23 www 10.36.28.23 www netmask 255.255.255.255
>плюс
>access-list fuck permit ip 10.36.28.17 255.255.255.255 any
>access-list fuck permit ip 10.36.28.23 255.255.255.255 any
>nat (inside) 0 access-list fuck
Спасибо! Хочу сказать, что я уже делал примерно таким образом...
ВОт:
access-list nonat deny tcp host 10.36.28.17 eq smtp any
access-list nonat deny tcp any host 10.36.28.23 eq smtp
access-list nonat permit ip 10.36.28.0 255.255.255.0 any
nat (inside) 0 access-list nonat
static (inside,internet) tcp 10.36.28.23 smtp 10.36.28.17 smtp netmask 255.255.255.255
вот тут при вводе команды nat 0 - он ругается, что "некоторые порты или айпишники не будут транслироваться"
но все прокатывает, и даже работает, НО только какое-то неопределенное время (короче,не более 3-х часов) ,после этого времени пикс просто отрубает трансляцию 25 порта, но трансляция адресов самих в себя остается (точнее, наоборот адреса НЕ транслир. nat 0)

в лог он ничего не пишет, (уровень дебаг) просто отрубает и все...
а возобновить можно ПРОСТО сделав no nat (inside) 0 access-list nonat
, а затем добавив ее снова.
В любом случае спасибо! попробую ваш вариант