>Добрый день!
>Бьюсь уже вторые сутки... Перечитал уже весь форум.
>Конфиг как по книжке а не работает... А именно нет доступа из
>инета к Веб серваку в ДМЗ.
>Вернее static работает... Пробрасывает через адрес оуктсайда на веб сервак... Но мне
>так не надо у меня в ДМЗ пул внешних адресов... Надо
>просто чтобы с оутсайда пропускались пакеты в ДМЗ.. Чтобы из инета
>было видно не адрес оутсайда и все адреса в ДМЗ.
>Подскажите хотябы в какую сторону копать....
>Конфиг вот такой вот:
>: Saved
>: Written by enable_15 at 09:16:33.782 UTC Tue Dec 27 2005
>PIX Version 6.3(1)
>interface ethernet0 100full
>interface ethernet1 100full
>interface ethernet2 100full
>nameif ethernet0 outside security0
>nameif ethernet1 inside security100
>nameif ethernet2 dmz security50
>hostname pix515-2
>fixup protocol domain 53
>fixup protocol ftp 21
>fixup protocol h323 h225 1720
>fixup protocol h323 ras 1718-1719
>fixup protocol http 80
>fixup protocol ils 389
>fixup protocol rsh 514
>fixup protocol rtsp 554
>fixup protocol sip 5060
>fixup protocol sip udp 5060
>fixup protocol skinny 2000
>fixup protocol smtp 25
>fixup protocol sqlnet 1521
>names
>access-list acl_out permit tcp any host 81.177.95.66 eq domain
>access-list acl_out permit tcp any host 81.177.95.66 eq www
>access-list acl_out permit tcp any host 81.177.95.66 eq smtp
>access-list acl_out permit udp any host 81.177.95.66 eq domain
>access-list acl_out permit icmp any any
>access-list acl_out permit tcp any host 81.177.95.118 eq www
>access-list acl_dmz permit icmp any any
>access-list acl_dmz permit tcp any any
>access-list acl_dmz permit udp any any
>access-list acl_in permit icmp any any
>access-list acl_in permit tcp any any
>pager lines 24
>logging on
>logging buffered debugging
>mtu outside 1500
>mtu inside 1500
>mtu dmz 1500
>ip address outside 81.177.95.118 255.255.255.248
>ip address inside 81.177.95.122 255.255.255.252
>ip address dmz 81.177.95.94 255.255.255.224
>ip audit info action alarm
>ip audit attack action alarm
>pdm history enable
>arp timeout 14400
>global (outside) 1 81.177.95.116-81.177.95.117 netmask 255.255.255.252
>global (outside) 1 81.177.95.114 netmask 255.255.255.255
>global (dmz) 1 81.177.95.93
>nat (inside) 1 0.0.0.0 0.0.0.0 0 0
>nat (dmz) 1 81.177.95.64 255.255.255.224 0 0
>static (dmz,outside) 81.177.95.118 81.188.95.66 netmask 255.255.255.255 0 0
>access-group acl_out in interface outside
>access-group acl_in in interface inside
>access-group acl_dmz in interface dmz
>route outside 0.0.0.0 0.0.0.0 81.177.95.113 1
>timeout xlate 3:00:00
>timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
>timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
>timeout uauth 0:05:00 absolute
>aaa-server TACACS+ protocol tacacs+
>aaa-server RADIUS protocol radius
>aaa-server LOCAL protocol local
>no snmp-server location
>no snmp-server contact
>snmp-server community public
>no snmp-server enable traps
>console timeout 0
>terminal width 120
>banner login welcome to pix5152 router!!!
>: end
Отвечаю сам себе..
Значит так! выкидываем всю трихомудию с NAT и PAT
и пробрасываем все что надо через static
подкрепляя все это дело аксесс листом соответственно