OpenForum RSS: Помогите с DMZ на Pix https://opennet.me/openforum/vsluhforumID6/20609.html <br>name 192.168.0.15 Web<br>access-list acl_dmz permit tcp host Web any eq www<br>access-list acl_inbound permit tcp any host 213.145.149.X eq www<br>ip address dmz 192.168.0.1 255.255.255.0<br>nat (dmz) 1 192.168.0.0 255.255.255.0 0 0<br>static (dmz,outside) 213.145.149.X Web netmask 255.255.255.255 0 0<br>access-group acl_inbound in interface outside<br>access-group acl_outbound in interface inside<br>access-group acl_dmz in interface dmz<br><br>Изнутри работает, а извне нет...<br>где может быть ошибка?<br><br>попробовал так<br>access-list acl_dmz permit tcp host Web any eq www<br><br>и еще так<br><br>access-list acl_dmz permit tcp host Web eq www any<br><br>все равно нет.<br><br>порт вроде прослушивается...<br><br>Спасибо<br> Помогите с DMZ на Pix (eric) https://opennet.me/openforum/vsluhforumID6/20609.html#6 Tue, 09 Mar 2010 10:19:25 GMT или так, обратите внимание, что hitcnt в acl_dmz везде (hitcnt=0) , получается что через acl_dmz вообще ничего не идет...<br><br>access-list acl_dmz; 6 elements<br>access-list acl_dmz line 1 permit tcp any host Web eq www (hitcnt=0)<br>access-list acl_dmz line 2 permit udp host Web any eq domain (hitcnt=0)<br>access-list acl_dmz line 3 permit tcp host Web any eq smtp (hitcnt=0)<br>access-list acl_dmz line 4 permit tcp host Web any eq www (hitcnt=0)<br>access-list acl_dmz line 5 permit tcp host Web any eq pop3 (hitcnt=0)<br>access-list acl_dmz line 6 deny ip any any (hitcnt=0)<br>access-list acl_inbound; 10 elements<br>access-list acl_inbound line 1 permit tcp host ------------ host 213.145.149.--- eq ssh (hitcnt=0)<br>access-list acl_inbound line 2 permit icmp any host 213.145.149.------ echo-reply (hitcnt=472)<br>access-list acl_inbound line 3 permit icmp any host 213.145.149.------ source-quench (hitcnt=0)<br>access-list acl_inbound line 4 permit icmp any host 213.145.149.------ unreachable (hitcnt=0)<br>access-list acl_inbound line 5 Помогите с DMZ на Pix (eric) https://opennet.me/openforum/vsluhforumID6/20609.html#5 Tue, 09 Mar 2010 10:12:41 GMT по каким-то не известным мне причинам заработало...<br><br>только тот, кто там находится, говорит что он подключил второй интерфейс сервера к локалке и заработало... не могу догнать, почему, помогите разобраться в конфиге, по логике же должен без локалки работать...<br><br>вот вся конфига<br><br>: Saved<br>:<br>PIX Version 6.3(5)<br>interface ethernet0 auto<br>interface ethernet1 auto<br>interface ethernet2 auto<br>interface ethernet3 auto<br>interface ethernet4 auto<br>interface ethernet5 auto shutdown<br>nameif ethernet0 outside security0<br>nameif ethernet1 inside security100<br>nameif ethernet2 dmz security30<br>nameif ethernet3 outside2 security0<br>nameif ethernet4 intf4 security8<br>nameif ethernet5 intf5 security10<br>enable password -------------- encrypted<br>passwd ------------- encrypted<br>hostname pix<br>domain-name ----------<br>fixup protocol dns maximum-length 512<br>fixup protocol ftp 21<br>fixup protocol h323 h225 1720<br>fixup protocol h323 ras 1718-1719<br>fixup protocol http 80<br>fixup protocol rsh 514<br>fixup protocol rtsp 554<br>fixup protocol si Помогите с DMZ на Pix (GolDi) https://opennet.me/openforum/vsluhforumID6/20609.html#4 Tue, 09 Mar 2010 06:37:45 GMT &gt;<br>&gt;global (outside) 1 213.145.149.198 <br>&gt;global (dmz) 1 192.168.0.10-192.168.0.160 <br>&gt;<br>&gt;вот так прописал глобал, нат убрал, не работает <br><br>Там ещё масса примеров<br>http://www.ciscolab.ru/2006/12/06/pix_corporatiive_conf.html<br> Помогите с DMZ на Pix (eric) https://opennet.me/openforum/vsluhforumID6/20609.html#3 Tue, 09 Mar 2010 05:59:46 GMT <br>global (outside) 1 213.145.149.198<br>global (dmz) 1 192.168.0.10-192.168.0.160<br><br>вот так прописал глобал, нат убрал, не работает<br> Помогите с DMZ на Pix (and) https://opennet.me/openforum/vsluhforumID6/20609.html#2 Thu, 04 Mar 2010 01:14:45 GMT &gt;<br>&gt;name 192.168.0.15 Web <br>&gt;access-list acl_dmz permit tcp host Web any eq www <br>&gt;access-list acl_inbound permit tcp any host 213.145.149.X eq www <br>&gt;ip address dmz 192.168.0.1 255.255.255.0 <br>&gt;nat (dmz) 1 192.168.0.0 255.255.255.0 0 0 <br>&gt;static (dmz,outside) 213.145.149.X Web netmask 255.255.255.255 0 0 <br>&gt;access-group acl_inbound in interface outside <br>&gt;access-group acl_outbound in interface inside <br>&gt;access-group acl_dmz in interface dmz <br><br>Строчка <br>&gt; nat (dmz) 1 192.168.0.0 255.255.255.0 0 0 <br><br>лишняя, поскольку nat работает в паре с global, которого здесь нет. static в nat не нуждается.<br>Все должно заработать.<br> Помогите с DMZ на Pix (GolDi) https://opennet.me/openforum/vsluhforumID6/20609.html#1 Wed, 03 Mar 2010 11:17:09 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;и еще так <br>&gt;<br>&gt;access-list acl_dmz permit tcp host Web eq www any <br>&gt;<br>&gt;все равно нет. <br>&gt;<br>&gt;порт вроде прослушивается... <br>&gt;<br>&gt;Спасибо <br><br>Может так?<br>access-list acl_dmz permit tcp any host Web eq www <br>