URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 7304
[ Назад ]

Исходное сообщение
"NAT из сети в сеть на PIX"

Отправлено Коматозник , 18-Фев-05 12:52 
Провайдер пробросил хвост (10.36.50.1) из "телесети" с адресои сети 10.36.50.0, до того, как поставить пикс, эта же сеть была реализована внутри предприятия (серверы и хосты имеют адреса из этой же сети). Теперь при реализации пикса дилема! Т.к. пикс не позволяет устанавливать на своих интерфесах IP из одной сети, как выйти из положения?
В данный момент у меня:
ip address outside 10.36.50.3 255.255.255.0
ip address inside 172.16.50.1 255.255.255.0
Естественно, что ничего не работает! Как мне выпустить всю внутреннюю сеть 10.36.50.0/24 наружу, как сделать нат всей этой сети через 172.16.50.1?

Содержание

Сообщения в этом обсуждении
"NAT из сети в сеть на PIX"
Отправлено q , 24-Фев-05 15:09 
Если я правильно понял, то 10.36.50.1/24 - это адрес внешний, от провайдера.

Вы были вынуждены установить на внутреннем интерефейсе пикса адрес из сети 172.16.50.0/24

Возможно на пиксе система команд будет несколько иной. Надо уточнить синтаксис...

Если же расмотреть, как пример, реализацию на обычном роутере,  то можно транслировать все адреса из сети 172 в адрес 10.

Настраивается просто:

1) создаем пул из одного адреса:

Router(config)# ip nat pool mypool 10.36.50.1 10.36.50.1 255.255.255.0

2) создаем простой список доступа:

Router(config)#  access-list 1 permit 172.16.50.0 0.0.0.255

3) настраиваем далее:

Router(config)# ip nat inside source list 1 pool mypool

4) указываем, какой интерфейс будет внешним, а какой внутренним:

Router(config-if)# ip nat inside (интерфейс с адресом 172.16.50.1/24)

Router(config-if)# ip nat outside (интерфейс с адресом 10.36.50.1/24)


"NAT из сети в сеть на PIX"
Отправлено ruff , 24-Фев-05 15:18 
>Если я правильно понял, то 10.36.50.1/24 - это адрес внешний, от провайдера.
>
>
>Вы были вынуждены установить на внутреннем интерефейсе пикса адрес из сети 172.16.50.0/24
>
>
>Возможно на пиксе система команд будет несколько иной. Надо уточнить синтаксис...
>
>Если же расмотреть, как пример, реализацию на обычном роутере,  то можно
>транслировать все адреса из сети 172 в адрес 10.
>
>Настраивается просто:
>
>1) создаем пул из одного адреса:
>
>Router(config)# ip nat pool mypool 10.36.50.1 10.36.50.1 255.255.255.0
>
>2) создаем простой список доступа:
>
>Router(config)#  access-list 1 permit 172.16.50.0 0.0.0.255
>
>3) настраиваем далее:
>
>Router(config)# ip nat inside source list 1 pool mypool
>
>4) указываем, какой интерфейс будет внешним, а какой внутренним:
>
>Router(config-if)# ip nat inside (интерфейс с адресом 172.16.50.1/24)
>
>Router(config-if)# ip nat outside (интерфейс с адресом 10.36.50.1/24)


А еще проще
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
делает PAT всего инсайда айпишником аутсайда


"NAT из сети в сеть на PIX"
Отправлено Коматозник , 24-Фев-05 15:28 
>А еще проще
>nat (inside) 1 0.0.0.0 0.0.0.0 0 0
>делает PAT всего инсайда айпишником аутсайда

Господа! Я еще раз повторяю! Наверно лучше схематично:

Было:
10.36.50.1(провайдер) - 10.36.50.0/24(внутренняя сеть)
Стало:
10.36.50.1(провайдер) - 10.36.50.3|PIX|172.16.50.1 - 10.36.50.0/24(внутренняя сеть)

На пиксе я от фоноря поставил 172.16.50.1 сам, потому как пикс НЕ ПОЗВОЛЯЕТ ставить IP на обоих интерфейсах из одной сети.
Провайдер IP не поменяет, в сети тоже IP меняться не будут, слишком гимморно 200 хостов менять, не все по DHCP.


"NAT из сети в сеть на PIX"
Отправлено ruff , 24-Фев-05 15:31 
>Господа! Я еще раз повторяю! Наверно лучше схематично:
>
>Было:
>10.36.50.1(провайдер) - 10.36.50.0/24(внутренняя сеть)
>Стало:
>10.36.50.1(провайдер) - 10.36.50.3|PIX|172.16.50.1 - 10.36.50.0/24(внутренняя сеть)
>
>На пиксе я от фоноря поставил 172.16.50.1 сам, потому как пикс НЕ
>ПОЗВОЛЯЕТ ставить IP на обоих интерфейсах из одной сети.
>Провайдер IP не поменяет, в сети тоже IP меняться не будут, слишком
>гимморно 200 хостов менять, не все по DHCP.

о...
тогда может сделать оутсайд 50.2/30 а инс 50.129/25 ? или хосты в нижнем сегменте тож имеются?

а, их 200 %) тогда никак... пикс здесь бесполезная железяка %)
хотя если 515 и выше - то они помойму позволяют секондари ип вешать на морду, можно тогда нарезать на инсайде 5/30 + 9/29 + 17/28 + ... но это будет затычка а не девайс тогда %)


"NAT из сети в сеть на PIX"
Отправлено Коматозник , 24-Фев-05 15:34 

>о...
>тогда может сделать оутсайд 50.2/30 а инс 50.129/25 ? или хосты в
>нижнем сегменте тож имеются?

Я же говорю 200 хостов в сети! А с маской /25 сколько будет?
(какую маску не ставь, а 126 хостов как максимум)


"NAT из сети в сеть на PIX"
Отправлено Rodion , 24-Фев-05 17:17 
>
>>о...
>>тогда может сделать оутсайд 50.2/30 а инс 50.129/25 ? или хосты в
>>нижнем сегменте тож имеются?
>
>Я же говорю 200 хостов в сети! А с маской /25 сколько
>будет?
>(какую маску не ставь, а 126 хостов как максимум)

Luchshiy variant - izmenit' adresa vnutrenney seti - eto logichno i "kak v shkole uchat" Chto meshaet?
Variant huge - esli est' router - podnat' na nem NAT v "levuyu" set' 192.168.*.* a na Pixe NAT(PAT) snova - v adresa provaydera. No eto - "dvoynoy razvorot" i tak nikto ne delaet :-))) Hotya v vashem sluchae...


"NAT из сети в сеть на PIX"
Отправлено ruff , 24-Фев-05 17:43 
>Luchshiy variant - izmenit' adresa vnutrenney seti - eto logichno i "kak
>v shkole uchat" Chto meshaet?
Это сам собой, правильный вариант %)

>Variant huge - esli est' router - podnat' na nem NAT v
>"levuyu" set' 192.168.*.* a na Pixe NAT(PAT) snova - v adresa
>provaydera. No eto - "dvoynoy razvorot" i tak nikto ne delaet

ну тогда уже пикс нафик, поднять линух (или фрю) и на нем навесть адреса, поднять фаирвол и тд %)

>:-))) Hotya v vashem sluchae...
Случай неординарный, типа "хочу с класной железкой, но нехочу по нормальному делать" %)


"NAT из сети в сеть на PIX"
Отправлено Rodion , 24-Фев-05 18:18 
>>Luchshiy variant - izmenit' adresa vnutrenney seti - eto logichno i "kak
>>v shkole uchat" Chto meshaet?
>Это сам собой, правильный вариант %)
>
>>Variant huge - esli est' router - podnat' na nem NAT v
>>"levuyu" set' 192.168.*.* a na Pixe NAT(PAT) snova - v adresa
>>provaydera. No eto - "dvoynoy razvorot" i tak nikto ne delaet
>
>ну тогда уже пикс нафик, поднять линух (или фрю) и на нем
>навесть адреса, поднять фаирвол и тд %)
>
>>:-))) Hotya v vashem sluchae...
>Случай неординарный, типа "хочу с класной железкой, но нехочу по нормальному делать"

Da, soglasen s "Linux" - prosto sdes' gde ya rabotayu deneg nikto ne schitaet i vse delaetsa na Cisco. Poetomu moi soveti mogut bit' neskolko odnoboki.
>%)



"NAT из сети в сеть на PIX"
Отправлено Коматозник , 24-Фев-05 18:28 

>Da, soglasen s "Linux" - prosto sdes' gde ya rabotayu deneg nikto
>ne schitaet i vse delaetsa na Cisco. Poetomu moi soveti mogut
>bit' neskolko odnoboki.
>>%)

Господа! Пока мое руководство думает! Прошу подсказать сдедующее!
Совсем на другом пиксе, который в действии, имеется на outside 16 белых адресов, выданных провайдером. Как можно делать пинг не только с самого пикса, но и из нутри сетки, все усложняется тем, что организовать доступ (по telnet, например) из нутри сетки.
О как!


"NAT из сети в сеть на PIX"
Отправлено ruff , 24-Фев-05 18:48 
>
>Господа! Пока мое руководство думает! Прошу подсказать сдедующее!
>Совсем на другом пиксе, который в действии, имеется на outside 16 белых
>адресов, выданных провайдером. Как можно делать пинг не только с самого
>пикса, но и из нутри сетки, все усложняется тем, что организовать
>доступ (по telnet, например) из нутри сетки.
>О как!

не поял... причем тут пул адресов, пинги и телнет?
чтоб ходили пинги изнутри надоть открыть icmp протокол (ибо он закрыт по умолчанию, в направлении аутсайд->инсайд, соответственно icmp echo reply не проходят назад) а телнет к чему? к пиксу?


"NAT из сети в сеть на PIX"
Отправлено Rodion , 24-Фев-05 18:58 
>>
>>Господа! Пока мое руководство думает! Прошу подсказать сдедующее!
>>Совсем на другом пиксе, который в действии, имеется на outside 16 белых
>>адресов, выданных провайдером. Как можно делать пинг не только с самого
>>пикса, но и из нутри сетки, все усложняется тем, что организовать
>>доступ (по telnet, например) из нутри сетки.
>>О как!
>
>не поял... причем тут пул адресов, пинги и телнет?
>чтоб ходили пинги изнутри надоть открыть icmp протокол (ибо он закрыт по умолчанию, в направлении аутсайд->инсайд, соответственно icmp echo reply не проходят назад) а телнет к чему? к пиксу?

Vopros rezonniy, po-moemu voproshayushemu len' chitat' doki s Cisco-sayta :-)
Krome togo - kakoy soft tam zalit? Esli 6.3.4 - tam po defoltu ping otkrit i vse luchshe delat' ASL a ne Conduit :-) s telnetom - narugu - voobshe nikakih problem - prosto propisivaem
telnet a.b.c.d m.a.s.k  inside



"NAT из сети в сеть на PIX"
Отправлено Коматозник , 25-Фев-05 10:28 
>
>Vopros rezonniy, po-moemu voproshayushemu len' chitat' doki s Cisco-sayta :-)
>Krome togo - kakoy soft tam zalit? Esli 6.3.4 - tam po
>defoltu ping otkrit i vse luchshe delat' ASL a ne Conduit
>:-) s telnetom - narugu - voobshe nikakih problem - prosto
>propisivaem
>telnet a.b.c.d m.a.s.k  inside

Пожалуйста, не надо так радикально осуждать (лень, не лень)
Я прекрасно знаю, что надо открывать icmp (стоит версия 6.3(1))
И я прекрасно знаю как предоставить доступ не только к inside, но тихо не спеша могу сделать ssh A.B.C.D M.A.S.K outside, сделав паблик кей и сохранив его указав из какой сети или какого IP будет доступ(кстати, таким образом появляется потенциальная брешь в пиксе). Дело совсем в другом!!! Прошу прощения, сумбурно написал! Сейчас постараюсь расстолковать!
Как я говорил выше, этот пикс никакого отношения не имеет к тому, вопрос на премет которого был выше. Можно сказать другая тема, просто не хотел ее создавать.
Так вот, на этом пиксе на outside есть IP - A.B.C.D, выданный провайдером. Этот IP успешно пингуется с самого пикса, он же пингуется и из самой сети, тут нет никаких проблем.
К этому IP провайдер пришил пул из 16-и адресов 1.2.3.1-15 Так вот, речь идет именно о них! Могу ли я не беспокоя провайдера пинговать их и предоставить доступ к этим адресам изнутри?
"и предоставить доступ к этим адресам изнутри" - слабо себе представляю, поступило расспоряжение сверху. Если я спрошу что имелось в виду, руководство может неординарно отреагировать на это, типа нашелся умник. Ну Вы понимаете!


"NAT из сети в сеть на PIX"
Отправлено ruff , 25-Фев-05 11:06 
>Пожалуйста, не надо так радикально осуждать (лень, не лень)
>Я прекрасно знаю, что надо открывать icmp (стоит версия 6.3(1))
>И я прекрасно знаю как предоставить доступ не только к inside, но
>тихо не спеша могу сделать ssh A.B.C.D M.A.S.K outside, сделав паблик
>кей и сохранив его указав из какой сети или какого IP
>будет доступ(кстати, таким образом появляется потенциальная брешь в пиксе). Дело совсем
>в другом!!! Прошу прощения, сумбурно написал! Сейчас постараюсь расстолковать!
>Как я говорил выше, этот пикс никакого отношения не имеет к тому,
>вопрос на премет которого был выше. Можно сказать другая тема, просто
>не хотел ее создавать.
>Так вот, на этом пиксе на outside есть IP - A.B.C.D, выданный
>провайдером. Этот IP успешно пингуется с самого пикса, он же пингуется
>и из самой сети, тут нет никаких проблем.
>К этому IP провайдер пришил пул из 16-и адресов 1.2.3.1-15 Так вот,
>речь идет именно о них! Могу ли я не беспокоя провайдера
>пинговать их и предоставить доступ к этим адресам изнутри?
>"и предоставить доступ к этим адресам изнутри" - слабо себе представляю, поступило
>расспоряжение сверху. Если я спрошу что имелось в виду, руководство может
>неординарно отреагировать на это, типа нашелся умник. Ну Вы понимаете!

Пул адресов подразумевает обычно НАТ. Конечно можно статически привязать каждый из айпишников к какому нить серверу внутри сети, командой static.
тогда эти адреса будут пингаться (а точнее внутренние сервера, замаскированые этими адресами)


"NAT из сети в сеть на PIX"
Отправлено Коматозник , 25-Фев-05 11:20 
>Пул адресов подразумевает обычно НАТ. Конечно можно статически привязать каждый из айпишников
>к какому нить серверу внутри сети, командой static.
>тогда эти адреса будут пингаться (а точнее внутренние сервера, замаскированые этими адресами)
>
Да, у меня выставленны некоторые сервера натом через статик. Что инетресно, из локальной сети IP из провайдерского пула пингуется, а на самом пиксе нет. Как поколдовать чтобы на самом пиксе пинговался провайдерский пул? Или это не возможно?


"NAT из сети в сеть на PIX"
Отправлено ruff , 25-Фев-05 11:25 
>Да, у меня выставленны некоторые сервера натом через статик. Что инетресно, из
>локальной сети IP из провайдерского пула пингуется, а на самом пиксе
>нет. Как поколдовать чтобы на самом пиксе пинговался провайдерский пул? Или
>это не возможно?

%) не, это невозможно, пикс то знает только что они в пуле, а при их пинговке пакеты шлет скорей всего на дефолт (провайдеру) а провайдер их маршрутизирует на пикс... Такой вот луп %) да и зачем??? если ты знаешь что эти адреса фейк. адрес привязан к серверу, посему если хош узнать жив ли сервер - пингуй его по внутреннему ИП


"NAT из сети в сеть на PIX"
Отправлено Коматозник , 25-Фев-05 12:26 
>
>%) не, это невозможно, пикс то знает только что они в пуле,
>а при их пинговке пакеты шлет скорей всего на дефолт (провайдеру)
>а провайдер их маршрутизирует на пикс... Такой вот луп %) да
>и зачем??? если ты знаешь что эти адреса фейк. адрес привязан
>к серверу, посему если хош узнать жив ли сервер - пингуй
>его по внутреннему ИП

Немного зарапортовался! IP на outside не пингуется из локальной сети!
С самого пикса пинг проходит! Что не так?


"NAT из сети в сеть на PIX"
Отправлено ruff , 25-Фев-05 13:24 
>>
>>%) не, это невозможно, пикс то знает только что они в пуле,
>>а при их пинговке пакеты шлет скорей всего на дефолт (провайдеру)
>>а провайдер их маршрутизирует на пикс... Такой вот луп %) да
>>и зачем??? если ты знаешь что эти адреса фейк. адрес привязан
>>к серверу, посему если хош узнать жив ли сервер - пингуй
>>его по внутреннему ИП
>
>Немного зарапортовался! IP на outside не пингуется из локальной сети!
>С самого пикса пинг проходит! Что не так?

фу жара... ну еще раз, в пуле у тебя айпи которые может использовать пикс для НАТ. Но это не адрес интерфейса! никакого интерфейса ни в какой сети. Если пакет проходя через пикс попадает под правило НАТа то он пройдет дальше, на того который статиком привязан к этому ИП, и это который оветит на него. ПИКС не пересылает пакеты назад в интерфейс (дето там большими буквами написано в мануале) посему пакеты пришедшие с инсайда никогда опять не попадут в инсайд (если только ктото дальше их не развернет)


"NAT из сети в сеть на PIX"
Отправлено Коматозник , 25-Фев-05 13:30 

>фу жара... ну еще раз, в пуле у тебя айпи которые может
>использовать пикс для НАТ. Но это не адрес интерфейса! никакого интерфейса
>ни в какой сети. Если пакет проходя через пикс попадает под
>правило НАТа то он пройдет дальше, на того который статиком привязан
>к этому ИП, и это который оветит на него. ПИКС не
>пересылает пакеты назад в интерфейс (дето там большими буквами написано в
>мануале) посему пакеты пришедшие с инсайда никогда опять не попадут в
>инсайд (если только ктото дальше их не развернет)

Не сердись, плиз, я толковый ученик! =))
Речь идет не о пуле адресов, а именно о IP, который висит на outside!
ip address outside A.B.C.D 255.255.255.252
ip address inside 192.168.50.1 255.255.255.0
ip address Teleset 192.168.80.6 255.255.255.252
Как мне из локальной сети сделать пинг на A.B.C.D?


"NAT из сети в сеть на PIX"
Отправлено ruff , 25-Фев-05 14:05 
>Не сердись, плиз, я толковый ученик! =))
>Речь идет не о пуле адресов, а именно о IP, который висит
>на outside!
>ip address outside A.B.C.D 255.255.255.252
>ip address inside 192.168.50.1 255.255.255.0
>ip address Teleset 192.168.80.6 255.255.255.252
>Как мне из локальной сети сделать пинг на A.B.C.D?

а, тю, ну это кажись попадает под правило:

>>ПИКС не
>>пересылает пакеты назад в интерфейс (дето там большими буквами написано в
>>мануале) посему пакеты пришедшие с инсайда никогда опять не попадут в
>>инсайд (если только ктото дальше их не развернет)

да и зачем тебе пинговать его морду наружную? %) пингуй пира (провайдера на втором конце провода) это тебе больше скажет %) т.е. пинг на внутр. морду говорит о том что пикс жив, на пира - что кабель жив, дальше пошла стихия прова


"NAT из сети в сеть на PIX"
Отправлено Коматозник , 25-Фев-05 14:13 
> а, тю, ну это кажись попадает под правило:
>
>>>ПИКС не
>>>пересылает пакеты назад в интерфейс (дето там большими буквами написано в
>>>мануале) посему пакеты пришедшие с инсайда никогда опять не попадут в
>>>инсайд (если только ктото дальше их не развернет)
>
>да и зачем тебе пинговать его морду наружную? %) пингуй пира (провайдера
>на втором конце провода) это тебе больше скажет %) т.е. пинг
>на внутр. морду говорит о том что пикс жив, на пира
>- что кабель жив, дальше пошла стихия прова
Да я и так уверен что все работает, просто наш другой отдел замутил мудренное, вроде как Тиволи Нетвью. Дык условия следующие (дословно) - нужно иметь возможность обращаться из нашей сети 129.168.50.0 к внешним интерефейсам PIX по любым портам, для начала достаточно чтоб откликались по СНМП.
Плиз, выйди на меня! UIN 99130031


"NAT из сети в сеть на PIX"
Отправлено Коматозник , 25-Фев-05 14:16 

>да и зачем тебе пинговать его морду наружную? %) пингуй пира (провайдера
>на втором конце провода) это тебе больше скажет %) т.е. пинг
>на внутр. морду говорит о том что пикс жив, на пира
>- что кабель жив, дальше пошла стихия прова

Плиз, ткни меня носом в доку, в которой говорится, что из внутренней сети не возможно пинговать outside, а снаружи inside!


"NAT из сети в сеть на PIX"
Отправлено ruff , 25-Фев-05 14:34 
>
>>да и зачем тебе пинговать его морду наружную? %) пингуй пира (провайдера
>>на втором конце провода) это тебе больше скажет %) т.е. пинг
>>на внутр. морду говорит о том что пикс жив, на пира
>>- что кабель жив, дальше пошла стихия прова
>
>Плиз, ткни меня носом в доку, в которой говорится, что из внутренней
>сети не возможно пинговать outside, а снаружи inside!

в аське уже ответил, но для потомков оставлю %)
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
---
You will not be able to ping interfaces on the "far side" of the PIX in any version. In our network diagram, you will be able to ping 10.1.1.1 from 10.1.1.5 or 200.1.1.1 from the outside, but you will not be able to ping 200.1.1.1 from 10.1.1.5, nor will you be able to ping 10.1.1.1, from the outside.
---


"NAT из сети в сеть на PIX"
Отправлено Rodion , 25-Фев-05 12:39 
>>
>>Vopros rezonniy, po-moemu voproshayushemu len' chitat' doki s Cisco-sayta :-)
>>Krome togo - kakoy soft tam zalit? Esli 6.3.4 - tam po
>>defoltu ping otkrit i vse luchshe delat' ASL a ne Conduit
>>:-) s telnetom - narugu - voobshe nikakih problem - prosto
>>propisivaem
>>telnet a.b.c.d m.a.s.k  inside
>
>Пожалуйста, не надо так радикально осуждать (лень, не лень)
>Я прекрасно знаю, что надо открывать icmp (стоит версия 6.3(1))
>И я прекрасно знаю как предоставить доступ не только к inside, но
>тихо не спеша могу сделать ssh A.B.C.D M.A.S.K outside, сделав паблик
>кей и сохранив его указав из какой сети или какого IP
>будет доступ(кстати, таким образом появляется потенциальная брешь в пиксе). Дело совсем
>в другом!!! Прошу прощения, сумбурно написал! Сейчас постараюсь расстолковать!
>Как я говорил выше, этот пикс никакого отношения не имеет к тому,
>вопрос на премет которого был выше. Можно сказать другая тема, просто
>не хотел ее создавать.
>Так вот, на этом пиксе на outside есть IP - A.B.C.D, выданный
>провайдером. Этот IP успешно пингуется с самого пикса, он же пингуется
>и из самой сети, тут нет никаких проблем.
>К этому IP провайдер пришил пул из 16-и адресов 1.2.3.1-15 Так вот,
>речь идет именно о них! Могу ли я не беспокоя провайдера
>пинговать их и предоставить доступ к этим адресам изнутри?
>"и предоставить доступ к этим адресам изнутри" - слабо себе представляю, поступило
>расспоряжение сверху. Если я спрошу что имелось в виду, руководство может
>неординарно отреагировать на это, типа нашелся умник. Ну Вы понимаете!


Horosho - radikalno osugdat' ne budem :-) togda rekomenduyu poyti na Cisco i nayti document "handling ICMP pings with the PIX Firewall"
A esli govorit' o bezopasnosti - to sama ideya otkritiya pingov - eto dira :-) - soglasen. Poetomu nado ubeditsa chto vse rabotaet i bistrenko zakrit'.