forum.opennet.ru

Составление сообщения

Исходное сообщение

"Доступ к FTP через PIX"
Отправлено Myxa, 20-Мрт-09 09:07

>[оверквотинг удален]
>
>стоит pix 515e (версия 6.3(5)) мне кажется он не понимает "extended"
>при вводе команды access-list acl_inbound extended permit tcp any host x.x.x.x
>eq ftp выводит сообщение "not a valid permission" - думал проблемы
>с привелегиями, написал комманду sh user, он мне показывает privilege 2,
>а написал команду sh curpriv,
>в ответ -
>Username : enable_15
>Current privilege level : 15
>Current Mode/s : P_PRIV P_CONF
Давайте с самого начала.
а) 6.3(5) понимает extended
б) поразумевается, что у вас есть некий диапазон внешних адресов, из него выделяем адрес под ваш фтп. В примере это 80.10.10.10.; настройки inside, dmz и outside интерфейсов сделаны, роутинг настроен ; ftp находится в dmz
Открываем внутренний ftp на адресе 192.168.12.1 в интернет (NAT):
static (dmz,outside) 80.10.10.10 192.168.12.1 netmask 255.255.255.255
! сделали привязку внешнего адреса к внутреннему
access-list acl_in extended permit tcp any host 80.10.10.10 eq ftp
! разрешили обращение к 80.10.10.10 по 21 порту
access-group acl_in in interface outside
! навесили acl_in на outside-интерфейс
сохранили конф, для порядка - cle xlate
Результат: ваш внутренний сервер виден извне по адресу 80.10.10.10 на 21 порту.
Все остальные вышеприведенные настройки - лишние и вредные.
Если нужно, что б ftp был виден со стороны inside - делаете по аналогии.

Исходное сообщение
"Доступ к FTP через PIX" Отправлено Myxa, 20-Мрт-09 09:07
>[оверквотинг удален] > >стоит pix 515e (версия 6.3(5)) мне кажется он не понимает "extended" >при вводе команды access-list acl_inbound extended permit tcp any host x.x.x.x >eq ftp выводит сообщение "not a valid permission" - думал проблемы >с привелегиями, написал комманду sh user, он мне показывает privilege 2, >а написал команду sh curpriv, >в ответ - >Username : enable_15 >Current privilege level : 15 >Current Mode/s : P_PRIV P_CONF Давайте с самого начала. а) 6.3(5) понимает extended б) поразумевается, что у вас есть некий диапазон внешних адресов, из него выделяем адрес под ваш фтп. В примере это 80.10.10.10.; настройки inside, dmz и outside интерфейсов сделаны, роутинг настроен ; ftp находится в dmz Открываем внутренний ftp на адресе 192.168.12.1 в интернет (NAT): static (dmz,outside) 80.10.10.10 192.168.12.1 netmask 255.255.255.255 ! сделали привязку внешнего адреса к внутреннему access-list acl_in extended permit tcp any host 80.10.10.10 eq ftp ! разрешили обращение к 80.10.10.10 по 21 порту access-group acl_in in interface outside ! навесили acl_in на outside-интерфейс сохранили конф, для порядка - cle xlate Результат: ваш внутренний сервер виден извне по адресу 80.10.10.10 на 21 порту. Все остальные вышеприведенные настройки - лишние и вредные. Если нужно, что б ftp был виден со стороны inside - делаете по аналогии.

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру