forum.opennet.ru - "PIX-515 не хочет транслировать сетку. " (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"PIX-515 не хочет транслировать сетку. "

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"PIX-515 не хочет транслировать сетку. "
Сообщение от AMG (ok) on 01-Июн-06, 15:50
Добрый день всем. при добавлении новой сети на пикс, столкнулся со след. проблемой - статические трансляции в/из этой сети работают, а динамические нет! вот конфиг относительно новой сети - interface ethernet2 auto interface ethernet1 auto nameif ethernet1 inside security100 nameif ethernet2 newnet security9 ip address inside 10.36.28.1 255.255.255.0 ip address newnet 131.108.40.50 255.255.240.0 access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq www access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.54 eq www access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1433 access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1533 access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1352 static (inside,newnet) tcp 131.108.40.55 www 192.168.164.53 www netmask 255.255.255.255 static (inside,newnet) tcp 131.108.40.55 1433 10.36.28.14 1433 netmask 255.255.255.255 static (inside,newnet) tcp 131.108.40.55 1533 192.168.164.55 1533 netmask 255.255.255.255 static (inside,newnet) tcp 131.108.40.55 lotusnotes 192.168.164.56 lotusnotes netmask 255.255.255.255 static (inside,newnet) tcp 131.108.40.54 www 10.36.28.24 www netmask 255.255.255.255 Вообщем, эти трансляции работают "на ура" доступ из сети 131.108.32.0 в сеть 192.168.164.0 по нужным портам есть. Теперь Необходимо сделать доступ из inside в newnet. Добавляю - global (newnet) 6 131.108.40.52 netmask 255.255.255.255 nat (inside) 6 access-list inside_to_newnet access-list inside_to_newnet permit ip 10.36.28.0 255.255.255.0 131.108.32.0 255.255.240.0 при попытке сделать соединение в сеть 131.108 пикс пишет в лог (уровень дебаг) Jun 1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp src inside:10.36.28.3/2801 dst newnet:131.108.32.5/1433 Jun 1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp src inside:10.36.28.3/4952 dst newnet:131.108.32.5/1433 Jun 1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp src inside:10.36.28.3/4578 dst newnet:131.108.32.5/1433 Jun 1 15:35:07 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp src inside:10.36.28.3/3724 dst newnet:131.108.32.5/1433 посмотрел описание ошибки - %PIX-3-305006 - вроде не мой случай. Зато если сказать вот так static (inside,newnet) 131.108.40.53 10.36.28.3 netmask 255.255.255.255 машина 10.36.28.3 будет ходить в данную сеть без проблем (ну и обратно соотв.)! Народ, подскажите, плз, отчего такое может быть, А? СПАСИБО зАРАНЕЕ PS> да, на пиксе еще другие сетки - там все нормально работают наты в аналогичных конфигурациях! PPS> На интерфейсе inside присутствуют две сети 192.168.164.0 и 10.36.28.0 sh ver Cisco PIX Firewall Version 6.3(4) Cisco PIX Device Manager Version 1.1(2) Compiled on Fri 02-Jul-04 00:07 by morlee up 8 days 0 hours Hardware: PIX-515, 64 MB RAM, CPU Pentium 200 MHz Flash i28F640J5 @ 0x300, 16MB BIOS Flash AT29C257 @ 0xfffd8000, 32KB Encryption hardware device : VAC+ (Crypto5823 revision 0x1) 0: ethernet0: address is 0004.9ad0.ce04, irq 11 1: ethernet1: address is 0004.9ad0.ce05, irq 10 2: ethernet2: address is 000d.88ff.d7d0, irq 9 3: ethernet3: address is 000d.88ff.d7d1, irq 9 4: ethernet4: address is 000d.88ff.d7d2, irq 9 5: ethernet5: address is 000d.88ff.d7d3, irq 9 Licensed Features: Failover: Enabled VPN-DES: Enabled VPN-3DES-AES: Disabled Maximum Physical Interfaces: 6 Maximum Interfaces: 10 Cut-through Proxy: Enabled Guards: Enabled URL-filtering: Enabled Inside Hosts: Unlimited Throughput: Unlimited IKE peers: Unlimited This PIX has an Unrestricted (UR) license.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

PIX-515 не хочет транслировать сетку. , ilya, 16:25 , 01-Июн-06, (1)

PIX-515 не хочет транслировать сетку. , ilya, 16:28 , 01-Июн-06, (2)

PIX-515 не хочет транслировать сетку. , AMG, 16:42 , 01-Июн-06, (4)

PIX-515 не хочет транслировать сетку. , AMG, 16:33 , 01-Июн-06, (3)

PIX-515 не хочет транслировать сетку. , ilya, 17:01 , 01-Июн-06, (5)

PIX-515 не хочет транслировать сетку. , AMG, 17:09 , 01-Июн-06, (6)

PIX-515 не хочет транслировать сетку. , lomo, 19:08 , 01-Июн-06, (7)

Сообщения по теме [Сортировка по времени, UBB]

1. "PIX-515 не хочет транслировать сетку. "

Сообщение от ilya (ok) on 01-Июн-06, 16:25

>Добрый день всем.
>
>при добавлении новой сети на пикс, столкнулся со след. проблемой - статические
>трансляции в/из этой сети работают, а динамические нет! вот конфиг относительно
>новой сети -
>
>
>interface ethernet2 auto
>interface ethernet1 auto
>
>
>nameif ethernet1 inside security100
>nameif ethernet2 newnet security9
>
>ip address inside 10.36.28.1 255.255.255.0
>ip address newnet 131.108.40.50 255.255.240.0
>
>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq www
>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.54 eq www
>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1433
>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1533
>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1352
>
>
>static (inside,newnet) tcp 131.108.40.55 www 192.168.164.53 www netmask 255.255.255.255
>static (inside,newnet) tcp 131.108.40.55 1433 10.36.28.14 1433 netmask 255.255.255.255
>static (inside,newnet) tcp 131.108.40.55 1533 192.168.164.55 1533 netmask 255.255.255.255
>static (inside,newnet) tcp 131.108.40.55 lotusnotes 192.168.164.56 lotusnotes netmask 255.255.255.255
>
>static (inside,newnet) tcp 131.108.40.54 www 10.36.28.24 www netmask 255.255.255.255
>
>Вообщем, эти трансляции работают "на ура" доступ  из сети 131.108.32.0 в
>сеть 192.168.164.0 по нужным портам есть.
>
>Теперь
>Необходимо сделать доступ из inside в newnet.
>Добавляю -
>global (newnet) 6 131.108.40.52 netmask 255.255.255.255
>nat (inside) 6 access-list inside_to_newnet
>access-list inside_to_newnet permit ip 10.36.28.0 255.255.255.0 131.108.32.0 255.255.240.0
а нужен именно полиси-нат?
как вариант попробуйте nat (inside) 6 10.... 255.255.255.0

>
>
>при попытке сделать соединение в сеть 131.108 пикс пишет в лог (уровень
>дебаг)
>
>
>Jun  1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp
>src inside:10.36.28.3/2801 dst newnet:131.108.32.5/1433
>Jun  1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp
>src inside:10.36.28.3/4952 dst newnet:131.108.32.5/1433
>Jun  1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp
>src inside:10.36.28.3/4578 dst newnet:131.108.32.5/1433
>Jun  1 15:35:07 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp
>src inside:10.36.28.3/3724 dst newnet:131.108.32.5/1433
>
>посмотрел описание ошибки - %PIX-3-305006 - вроде не мой случай.
>
>Зато если сказать вот так
>
>static (inside,newnet) 131.108.40.53  10.36.28.3 netmask 255.255.255.255
>
>машина 10.36.28.3 будет ходить в данную сеть без проблем (ну и обратно
>соотв.)!
>
>
>Народ, подскажите, плз, отчего такое может быть, А?
>
>СПАСИБО зАРАНЕЕ
>
>
>
>PS>
>
>да, на пиксе еще другие сетки - там все нормально работают наты
>в аналогичных конфигурациях!
>
>PPS>
>На интерфейсе inside присутствуют две сети 192.168.164.0 и 10.36.28.0
эт как? на одном интерфейсе два адреса?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "PIX-515 не хочет транслировать сетку. "

Сообщение от ilya (ok) on 01-Июн-06, 16:28

кстати еще несколько фишек
•Use an access list only once between the nat and static commands.
•A global address cannot be used concurrently for NAT and PAT.
•static commands are matched and executed before nat commands.
___•Policy NAT does not support SQL*Net, which is supported by regular NAT. ___
1433 - не он ли (SQL*NET)?
да и весь конфиг покажите (что бы было понятно что вцелом с натом и статиком)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "PIX-515 не хочет транслировать сетку. "

Сообщение от AMG (ok) on 01-Июн-06, 16:42

>кстати еще несколько фишек
>•Use an access list only once between the nat and static commands.
>
>
>•A global address cannot be used concurrently for NAT and PAT.
>
>•static commands are matched and executed before nat commands.
>
>___•Policy NAT does not support SQL*Net, which is supported by regular NAT.
>___
>
>1433 - не он ли (SQL*NET)?
>
>да и весь конфиг покажите (что бы было понятно что вцелом с
>натом и статиком)
да, пожалуйста,вот конфиг (newnet - это glavapu)
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet0 vlan51 logical
interface ethernet0 vlan52 logical
interface ethernet0 vlan53 logical
interface ethernet1 auto
interface ethernet2 auto
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 glavapu security9
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
nameif vlan51 teleset security15
nameif vlan52 friend-org security20
nameif vlan53 internet security10
enable password RrRNm8OrQbKB08I/ encrypted
passwd RrRNm8OrQbKB08I/ encrypted
hostname fw.mka.mos.ru
domain-name mka.mos.ru
no fixup protocol dns
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol pptp 1723
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
no fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list From_Internet permit icmp any any time-exceeded
access-list From_Internet permit icmp any any echo-reply
access-list From_Internet permit icmp any any echo
access-list From_Internet permit icmp any any unreachable
access-list From_Internet permit tcp any host 10.36.28.17 eq smtp
access-list From_Internet permit tcp any host 10.36.28.23 eq smtp
access-list From_Internet permit tcp any host 10.36.28.23 eq www
access-list From_Internet permit udp any eq domain host 10.36.28.6
access-list From_Internet permit tcp any host 10.36.28.6 eq 2222
access-list From_Internet permit udp host 10.36.58.1 host 10.36.28.6 eq 8888
access-list From_Internet permit udp host 10.36.58.1 host 10.36.28.3 eq 8888
access-list From_Internet permit tcp any host 10.36.28.3 eq pptp
access-list From_Internet permit gre any host 10.36.28.3
access-list 199 permit icmp any any time-exceeded
access-list 199 permit icmp any any echo-reply
access-list 199 permit icmp any any echo
access-list 199 permit icmp any any unreachable
access-list 199 permit ip 192.168.2.0 255.255.255.192 any
access-list 199 permit ip host 192.168.2.64 any
access-list 199 permit ip host 192.168.2.65 any
access-list 199 permit ip host 192.168.2.66 any
access-list 199 permit ip host 192.168.2.67 any
access-list 199 permit ip host 192.168.2.68 any
access-list 199 permit ip host 192.168.2.69 any
access-list 199 permit ip host 192.168.2.70 any
access-list 199 permit ip host 192.168.2.71 any
access-list 199 permit ip host 192.168.2.72 any
access-list 199 permit ip host 192.168.2.73 any
access-list 199 permit ip host 192.168.2.74 any
access-list 199 permit ip host 192.168.2.75 any
access-list 199 permit ip host 192.168.2.76 any
access-list 199 permit ip host 192.168.2.77 any
access-list 199 permit ip host 192.168.2.78 any
access-list 199 permit ip host 192.168.2.79 any
access-list 199 permit ip host 192.168.2.80 any
access-list 199 permit ip 192.168.100.0 255.255.255.192 any
access-list 199 permit tcp 192.168.0.0 255.255.0.0 host 192.168.164.56 eq lotusnotes
access-list 199 permit tcp 192.168.0.0 255.255.0.0 host 192.168.164.55 eq 1533
access-list 199 permit tcp 192.168.0.0 255.255.0.0 host 192.168.164.12 eq www
access-list 199 permit udp 192.168.0.0 255.255.0.0 host 192.168.164.51 eq domain
access-list 199 permit tcp 192.168.0.0 255.255.0.0 host 192.168.164.53 eq www
access-list 199 permit tcp 192.168.0.0 255.255.0.0 host 192.168.137.24 eq www
access-list 199 permit tcp 192.168.0.0 255.255.0.0 host 192.168.137.23 eq www
access-list 199 permit tcp 192.168.0.0 255.255.0.0 host 192.168.137.17 eq www
access-list 199 permit tcp 192.168.0.0 255.255.0.0 host 192.168.137.14 eq 1433
access-list 199 permit udp host 192.168.76.109 host 192.168.137.3 eq syslog
access-list 199 permit tcp host 192.168.103.13 host 192.168.137.15 eq smtp
access-list 199 permit tcp host 192.168.103.13 host 192.168.137.15 eq pop3
access-list 199 permit ip 192.168.2.0 255.255.255.0 any
access-list 199 permit gre 192.168.0.0 255.255.0.0 host 192.168.164.53
access-list 199 permit tcp 192.168.103.0 255.255.255.0 host 192.168.164.53 eq 84
access-list 199 permit tcp 192.168.140.0 255.255.255.0 host 192.168.164.53 eq pptp
access-list 199 permit udp 192.168.0.0 255.255.0.0 host 192.168.137.3 eq 8888
access-list mka_guzgr permit ip 10.36.28.0 255.255.255.0 10.36.38.0 255.255.255.0
access-list guzgr_meria deny ip 10.36.38.0 255.255.255.0 10.36.28.0 255.255.255.0
access-list guzgr_meria permit ip 10.36.38.0 255.255.255.0 10.0.0.0 255.0.0.0
access-list guzgr deny ip 10.36.38.0 255.255.255.0 192.168.0.0 255.255.0.0
access-list guzgr deny ip 10.36.38.0 255.255.255.0 10.0.0.0 255.0.0.0
access-list guzgr permit ip 10.36.38.0 255.255.255.0 10.36.28.0 255.255.255.0
access-list guzgr permit ip 10.36.38.0 255.255.255.0 any
access-list mail permit ip host 10.36.28.17 any
access-list mail permit ip host 10.36.28.23 any
access-list mka deny ip host 10.36.28.17 any
access-list mka deny ip host 10.36.28.23 any
access-list mka permit ip 10.36.28.0 255.255.255.0 any
access-list FromDrug permit icmp any any echo-reply
access-list FromDrug permit icmp any any echo
access-list FromDrug permit icmp any any unreachable
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 10.61.17.12 eq ftp
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 10.61.17.12 eq ftp-data
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 10.36.28.14 eq 1433
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 10.36.28.17 eq www
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 10.36.28.17 eq pop3
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 10.36.28.23 eq www
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 10.36.28.24 eq www
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 10.36.28.23 eq https
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 192.168.164.56 eq lotusnotes
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 192.168.164.53 eq www
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 192.168.164.55 eq 1533
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 192.168.164.56 eq pop3
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 192.168.164.56 eq smtp
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 192.168.164.12 eq www
access-list FromDrug permit udp 10.36.38.0 255.255.255.0 host 192.168.164.51 eq domain
access-list FromDrug deny ip 10.36.38.0 255.255.255.0 192.168.164.0 255.255.255.0
access-list FromDrug deny ip 10.36.38.0 255.255.255.0 10.36.28.0 255.255.255.0
access-list FromDrug permit ip 10.36.38.0 255.255.255.0 any
access-list guzgr_teleset permit ip 10.36.38.0 255.255.255.0 192.168.0.0 255.255.0.0
access-list guzgr_teleset permit icmp 10.36.38.0 255.255.255.0 192.168.0.0 255.255.0.0
access-list servers permit ip 192.168.164.0 255.255.255.0 any
access-list from_glavapu permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq www
access-list from_glavapu permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.54 eq www
access-list from_glavapu permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1433
access-list from_glavapu permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1533
access-list from_glavapu permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq lotusnotes
access-list mka_to_apu permit ip 10.36.28.0 255.255.255.0 131.108.32.0 255.255.240.0
pager lines 24
logging on
logging monitor debugging
logging trap informational
logging facility 23
logging host inside 10.36.28.3
mtu outside 1500
mtu inside 1500
mtu glavapu 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
no ip address outside
ip address inside 10.36.28.1 255.255.255.0
ip address glavapu 131.108.40.50 255.255.240.0
no ip address intf3
no ip address intf4
no ip address intf5
ip address teleset 192.168.76.125 255.255.255.0
ip address friend-org 10.36.38.1 255.255.255.0
ip address internet 10.36.58.10 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address glavapu
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
no failover ip address teleset
no failover ip address friend-org
no failover ip address internet
pdm history enable
arp timeout 14400
global (glavapu) 6 131.108.40.52 netmask 255.255.255.255
global (teleset) 4 192.168.137.254 netmask 255.255.255.255
global (internet) 3 10.36.28.253 netmask 255.255.255.255
global (internet) 2 10.36.28.23 netmask 255.255.255.255
global (internet) 5 10.36.28.251 netmask 255.255.255.255
nat (inside) 0 access-list mka_guzgr
nat (inside) 2 access-list mail 0 0
nat (inside) 3 access-list mka 0 0
nat (inside) 5 access-list servers 0 0
nat (inside) 6 10.36.28.0 255.255.255.0 0 0
nat (friend-org) 0 access-list guzgr
nat (friend-org) 3 access-list guzgr_meria 0 0
nat (friend-org) 4 access-list guzgr_teleset 0 0
static (inside,internet) tcp 10.36.28.23 smtp 10.36.28.17 smtp netmask 255.255.255.255 0 0
static (inside,internet) tcp 10.36.28.23 www 10.36.28.23 www netmask 255.255.255.255 0 0
static (inside,internet) tcp 10.36.28.23 5000 10.36.28.23 5000 netmask 255.255.255.255 0 0
static (inside,glavapu) tcp 131.108.40.55 www 192.168.164.53 www netmask 255.255.255.255 0 0
static (inside,glavapu) tcp 131.108.40.55 1433 10.36.28.14 1433 netmask 255.255.255.255 0 0
static (inside,glavapu) tcp 131.108.40.55 1533 192.168.164.55 1533 netmask 255.255.255.255 0 0
static (inside,glavapu) tcp 131.108.40.55 lotusnotes 192.168.164.56 lotusnotes netmask 255.255.255.255 0 0
static (inside,glavapu) tcp 131.108.40.54 www 10.36.28.24 www netmask 255.255.255.255 0 0
static (inside,internet) 10.36.28.6 10.36.28.6 netmask 255.255.255.255 0 0
static (inside,internet) 10.36.28.3 10.36.28.3 netmask 255.255.255.255 0 0
static (inside,teleset) 192.168.164.0 192.168.164.0 netmask 255.255.255.0 0 0
static (inside,teleset) 192.168.137.0 10.36.28.0 netmask 255.255.255.128 0 0
static (inside,teleset) 192.168.137.128 10.36.28.128 netmask 255.255.255.192 0 0
static (inside,teleset) 192.168.137.192 10.36.28.192 netmask 255.255.255.224 0 0
static (inside,teleset) 192.168.137.224 10.36.28.224 netmask 255.255.255.240 0 0
static (inside,teleset) 192.168.137.240 10.36.28.240 netmask 255.255.255.248 0 0
static (inside,teleset) 192.168.137.248 10.36.28.248 netmask 255.255.255.252 0 0
static (inside,friend-org) 192.168.164.0 192.168.164.0 netmask 255.255.255.0 0 0
static (inside,internet) 10.36.28.14 10.36.28.14 netmask 255.255.255.255 0 0
access-group from_glavapu in interface glavapu
access-group 199 in interface teleset
access-group FromDrug in interface friend-org
access-group From_Internet in interface internet
route internet 0.0.0.0 0.0.0.0 10.36.58.1 1
route teleset 192.168.0.0 255.255.0.0 192.168.76.126 1
route inside 192.168.164.0 255.255.255.0 10.36.28.10 1
timeout xlate 3:00:00
timeout conn 5:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
aaa authentication ssh console LOCAL
http server enable
http 10.36.28.8 255.255.255.255 inside
snmp-server host inside 10.36.28.6
no snmp-server location
no snmp-server contact
snmp-server community pix515
no snmp-server enable traps
tftp-server inside 10.36.28.1 /pix
floodguard enable
telnet 10.36.28.0 255.255.255.0 inside
telnet 10.61.20.0 255.255.255.0 inside
telnet timeout 10
ssh 192.168.2.0 255.255.255.0 outside
ssh 10.36.28.0 255.255.255.0 inside
ssh 192.168.2.0 255.255.255.0 teleset
ssh timeout 20
console timeout 0
username mdipix password EDpuyHo1ZCRGZ4Od encrypted privilege 15
terminal width 80
Cryptochecksum:8e93d90ed0afc0e65dc7535a0e080ad3
: end

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "PIX-515 не хочет транслировать сетку. "

Сообщение от AMG (ok) on 01-Июн-06, 16:33

>>Добрый день всем.
>>
>>при добавлении новой сети на пикс, столкнулся со след. проблемой - статические
>>трансляции в/из этой сети работают, а динамические нет! вот конфиг относительно
>>новой сети -
>>
>>
>>interface ethernet2 auto
>>interface ethernet1 auto
>>
>>
>>nameif ethernet1 inside security100
>>nameif ethernet2 newnet security9
>>
>>ip address inside 10.36.28.1 255.255.255.0
>>ip address newnet 131.108.40.50 255.255.240.0
>>
>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq www
>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.54 eq www
>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1433
>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1533
>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1352
>>
>>
>>static (inside,newnet) tcp 131.108.40.55 www 192.168.164.53 www netmask 255.255.255.255
>>static (inside,newnet) tcp 131.108.40.55 1433 10.36.28.14 1433 netmask 255.255.255.255
>>static (inside,newnet) tcp 131.108.40.55 1533 192.168.164.55 1533 netmask 255.255.255.255
>>static (inside,newnet) tcp 131.108.40.55 lotusnotes 192.168.164.56 lotusnotes netmask 255.255.255.255
>>
>>static (inside,newnet) tcp 131.108.40.54 www 10.36.28.24 www netmask 255.255.255.255
>>
>>Вообщем, эти трансляции работают "на ура" доступ  из сети 131.108.32.0 в
>>сеть 192.168.164.0 по нужным портам есть.
>>
>>Теперь
>>Необходимо сделать доступ из inside в newnet.
>>Добавляю -
>>global (newnet) 6 131.108.40.52 netmask 255.255.255.255
>>nat (inside) 6 access-list inside_to_newnet
>>access-list inside_to_newnet permit ip 10.36.28.0 255.255.255.0 131.108.32.0 255.255.240.0
>
>а нужен именно полиси-нат?
>
>как вариант попробуйте nat (inside) 6 10.... 255.255.255.0
Я так пробовал уже - те же грабли...
>
>>
>>
>>при попытке сделать соединение в сеть 131.108 пикс пишет в лог (уровень
>>дебаг)
>>
>>
>>Jun  1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp
>>src inside:10.36.28.3/2801 dst newnet:131.108.32.5/1433
>>Jun  1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp
>>src inside:10.36.28.3/4952 dst newnet:131.108.32.5/1433
>>Jun  1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp
>>src inside:10.36.28.3/4578 dst newnet:131.108.32.5/1433
>>Jun  1 15:35:07 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp
>>src inside:10.36.28.3/3724 dst newnet:131.108.32.5/1433
>>
>>посмотрел описание ошибки - %PIX-3-305006 - вроде не мой случай.
>>
>>Зато если сказать вот так
>>
>>static (inside,newnet) 131.108.40.53  10.36.28.3 netmask 255.255.255.255
>>
>>машина 10.36.28.3 будет ходить в данную сеть без проблем (ну и обратно
>>соотв.)!
>>
>>
>>Народ, подскажите, плз, отчего такое может быть, А?
>>
>>СПАСИБО зАРАНЕЕ
>>
>>
>>
>>PS>
>>
>>да, на пиксе еще другие сетки - там все нормально работают наты
>>в аналогичных конфигурациях!
>>
>>PPS>
>>На интерфейсе inside присутствуют две сети 192.168.164.0 и 10.36.28.0
>
>эт как? на одном интерфейсе два адреса?
да, inside соединяется с внутренней сетью, в которой еще за одним роутером находится серверный сегмент 192.168.164.0

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "PIX-515 не хочет транслировать сетку. "

Сообщение от ilya (ok) on 01-Июн-06, 17:01

>>>Добрый день всем.
>>>
>>>при добавлении новой сети на пикс, столкнулся со след. проблемой - статические
>>>трансляции в/из этой сети работают, а динамические нет! вот конфиг относительно
>>>новой сети -
>>>
>>>
>>>interface ethernet2 auto
>>>interface ethernet1 auto
>>>
>>>
>>>nameif ethernet1 inside security100
>>>nameif ethernet2 newnet security9
>>>
>>>ip address inside 10.36.28.1 255.255.255.0
>>>ip address newnet 131.108.40.50 255.255.240.0
>>>
>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq www
>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.54 eq www
>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1433
>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1533
>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1352
>>>
>>>
>>>static (inside,newnet) tcp 131.108.40.55 www 192.168.164.53 www netmask 255.255.255.255
>>>static (inside,newnet) tcp 131.108.40.55 1433 10.36.28.14 1433 netmask 255.255.255.255
>>>static (inside,newnet) tcp 131.108.40.55 1533 192.168.164.55 1533 netmask 255.255.255.255
>>>static (inside,newnet) tcp 131.108.40.55 lotusnotes 192.168.164.56 lotusnotes netmask 255.255.255.255
>>>
>>>static (inside,newnet) tcp 131.108.40.54 www 10.36.28.24 www netmask 255.255.255.255
>>>
>>>Вообщем, эти трансляции работают "на ура" доступ  из сети 131.108.32.0 в
>>>сеть 192.168.164.0 по нужным портам есть.
>>>
>>>Теперь
>>>Необходимо сделать доступ из inside в newnet.
>>>Добавляю -
>>>global (newnet) 6 131.108.40.52 netmask 255.255.255.255
>>>nat (inside) 6 access-list inside_to_newnet
>>>access-list inside_to_newnet permit ip 10.36.28.0 255.255.255.0 131.108.32.0 255.255.240.0
>>
>>а нужен именно полиси-нат?
>>
>>как вариант попробуйте nat (inside) 6 10.... 255.255.255.0
>Я так пробовал уже - те же грабли...
1. после изменения трансляции cl xl пробовали?
2. трансляция не работает только по указанному порту или вообще?
судя по конфигу все должно работать (другие трансляции наверняка же работают?)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "PIX-515 не хочет транслировать сетку. "

Сообщение от AMG (ok) on 01-Июн-06, 17:09

>>>>Добрый день всем.
>>>>
>>>>при добавлении новой сети на пикс, столкнулся со след. проблемой - статические
>>>>трансляции в/из этой сети работают, а динамические нет! вот конфиг относительно
>>>>новой сети -
>>>>
>>>>
>>>>interface ethernet2 auto
>>>>interface ethernet1 auto
>>>>
>>>>
>>>>nameif ethernet1 inside security100
>>>>nameif ethernet2 newnet security9
>>>>
>>>>ip address inside 10.36.28.1 255.255.255.0
>>>>ip address newnet 131.108.40.50 255.255.240.0
>>>>
>>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq www
>>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.54 eq www
>>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1433
>>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1533
>>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1352
>>>>
>>>>
>>>>static (inside,newnet) tcp 131.108.40.55 www 192.168.164.53 www netmask 255.255.255.255
>>>>static (inside,newnet) tcp 131.108.40.55 1433 10.36.28.14 1433 netmask 255.255.255.255
>>>>static (inside,newnet) tcp 131.108.40.55 1533 192.168.164.55 1533 netmask 255.255.255.255
>>>>static (inside,newnet) tcp 131.108.40.55 lotusnotes 192.168.164.56 lotusnotes netmask 255.255.255.255
>>>>
>>>>static (inside,newnet) tcp 131.108.40.54 www 10.36.28.24 www netmask 255.255.255.255
>>>>
>>>>Вообщем, эти трансляции работают "на ура" доступ  из сети 131.108.32.0 в
>>>>сеть 192.168.164.0 по нужным портам есть.
>>>>
>>>>Теперь
>>>>Необходимо сделать доступ из inside в newnet.
>>>>Добавляю -
>>>>global (newnet) 6 131.108.40.52 netmask 255.255.255.255
>>>>nat (inside) 6 access-list inside_to_newnet
>>>>access-list inside_to_newnet permit ip 10.36.28.0 255.255.255.0 131.108.32.0 255.255.240.0
>>>
>>>а нужен именно полиси-нат?
>>>
>>>как вариант попробуйте nat (inside) 6 10.... 255.255.255.0
>>Я так пробовал уже - те же грабли...
>1. после изменения трансляции cl xl пробовали?
>2. трансляция не работает только по указанному порту или вообще?
>
>судя по конфигу все должно работать (другие трансляции наверняка же работают?)

нет трансляция не работает вообще (т.е. динам. трансляция 10.хххх сеть в 131.108  - не пашет. А статическая трансляция с этой сетью - работает без проблем.
clear xlate делал, конечно!
Сейчас вспомнил - что недавно хотел в тестовых целях добавить НА ДРУГОЙ ИФЕЙС другую сеть, тоже нужно было динам. трансл. сделать - та же ошибка выскочила - но, тогда просто забил и решили по-другому вопрос.
Вот, что меня смущает -
PIX-3-305006: Regular translation creation failed for protocol src int_name:IP_addr/port dst int_name:IP_addr/port
!!!Action This message can be either an internal error or an error in the configuration.!!!

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "PIX-515 не хочет транслировать сетку. "

Сообщение от lomo on 01-Июн-06, 19:08

поставьте для начала 6.3(5) - там поправили несколько проблем с NAT...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "PIX-515 не хочет транслировать сетку. "
Сообщение от ilya (ok) on 01-Июн-06, 16:25
>Добрый день всем. > >при добавлении новой сети на пикс, столкнулся со след. проблемой - статические >трансляции в/из этой сети работают, а динамические нет! вот конфиг относительно >новой сети - > > >interface ethernet2 auto >interface ethernet1 auto > > >nameif ethernet1 inside security100 >nameif ethernet2 newnet security9 > >ip address inside 10.36.28.1 255.255.255.0 >ip address newnet 131.108.40.50 255.255.240.0 > >access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq www >access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.54 eq www >access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1433 >access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1533 >access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1352 > > >static (inside,newnet) tcp 131.108.40.55 www 192.168.164.53 www netmask 255.255.255.255 >static (inside,newnet) tcp 131.108.40.55 1433 10.36.28.14 1433 netmask 255.255.255.255 >static (inside,newnet) tcp 131.108.40.55 1533 192.168.164.55 1533 netmask 255.255.255.255 >static (inside,newnet) tcp 131.108.40.55 lotusnotes 192.168.164.56 lotusnotes netmask 255.255.255.255 > >static (inside,newnet) tcp 131.108.40.54 www 10.36.28.24 www netmask 255.255.255.255 > >Вообщем, эти трансляции работают "на ура" доступ из сети 131.108.32.0 в >сеть 192.168.164.0 по нужным портам есть. > >Теперь >Необходимо сделать доступ из inside в newnet. >Добавляю - >global (newnet) 6 131.108.40.52 netmask 255.255.255.255 >nat (inside) 6 access-list inside_to_newnet >access-list inside_to_newnet permit ip 10.36.28.0 255.255.255.0 131.108.32.0 255.255.240.0 а нужен именно полиси-нат? как вариант попробуйте nat (inside) 6 10.... 255.255.255.0 > > >при попытке сделать соединение в сеть 131.108 пикс пишет в лог (уровень >дебаг) > > >Jun 1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp >src inside:10.36.28.3/2801 dst newnet:131.108.32.5/1433 >Jun 1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp >src inside:10.36.28.3/4952 dst newnet:131.108.32.5/1433 >Jun 1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp >src inside:10.36.28.3/4578 dst newnet:131.108.32.5/1433 >Jun 1 15:35:07 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp >src inside:10.36.28.3/3724 dst newnet:131.108.32.5/1433 > >посмотрел описание ошибки - %PIX-3-305006 - вроде не мой случай. > >Зато если сказать вот так > >static (inside,newnet) 131.108.40.53 10.36.28.3 netmask 255.255.255.255 > >машина 10.36.28.3 будет ходить в данную сеть без проблем (ну и обратно >соотв.)! > > >Народ, подскажите, плз, отчего такое может быть, А? > >СПАСИБО зАРАНЕЕ > > > >PS> > >да, на пиксе еще другие сетки - там все нормально работают наты >в аналогичных конфигурациях! > >PPS> >На интерфейсе inside присутствуют две сети 192.168.164.0 и 10.36.28.0 эт как? на одном интерфейсе два адреса?
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "PIX-515 не хочет транслировать сетку. "
	Сообщение от ilya (ok) on 01-Июн-06, 16:28
	кстати еще несколько фишек •Use an access list only once between the nat and static commands. •A global address cannot be used concurrently for NAT and PAT. •static commands are matched and executed before nat commands. ___•Policy NAT does not support SQLNet, which is supported by regular NAT. ___ 1433 - не он ли (SQLNET)? да и весь конфиг покажите (что бы было понятно что вцелом с натом и статиком)
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "PIX-515 не хочет транслировать сетку. "
	Сообщение от AMG (ok) on 01-Июн-06, 16:42
	>кстати еще несколько фишек >•Use an access list only once between the nat and static commands. > > >•A global address cannot be used concurrently for NAT and PAT. > >•static commands are matched and executed before nat commands. > >___•Policy NAT does not support SQLNet, which is supported by regular NAT. >___ > >1433 - не он ли (SQLNET)? > >да и весь конфиг покажите (что бы было понятно что вцелом с >натом и статиком) да, пожалуйста,вот конфиг (newnet - это glavapu) PIX Version 6.3(4) interface ethernet0 auto interface ethernet0 vlan51 logical interface ethernet0 vlan52 logical interface ethernet0 vlan53 logical interface ethernet1 auto interface ethernet2 auto interface ethernet3 auto shutdown interface ethernet4 auto shutdown interface ethernet5 auto shutdown nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 glavapu security9 nameif ethernet3 intf3 security6 nameif ethernet4 intf4 security8 nameif ethernet5 intf5 security10 nameif vlan51 teleset security15 nameif vlan52 friend-org security20 nameif vlan53 internet security10 enable password RrRNm8OrQbKB08I/ encrypted passwd RrRNm8OrQbKB08I/ encrypted hostname fw.mka.mos.ru domain-name mka.mos.ru no fixup protocol dns fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol ils 389 fixup protocol pptp 1723 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 no fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list From_Internet permit icmp any any time-exceeded access-list From_Internet permit icmp any any echo-reply access-list From_Internet permit icmp any any echo access-list From_Internet permit icmp any any unreachable access-list From_Internet permit tcp any host 10.36.28.17 eq smtp access-list From_Internet permit tcp any host 10.36.28.23 eq smtp access-list From_Internet permit tcp any host 10.36.28.23 eq www access-list From_Internet permit udp any eq domain host 10.36.28.6 access-list From_Internet permit tcp any host 10.36.28.6 eq 2222 access-list From_Internet permit udp host 10.36.58.1 host 10.36.28.6 eq 8888 access-list From_Internet permit udp host 10.36.58.1 host 10.36.28.3 eq 8888 access-list From_Internet permit tcp any host 10.36.28.3 eq pptp access-list From_Internet permit gre any host 10.36.28.3 access-list 199 permit icmp any any time-exceeded access-list 199 permit icmp any any echo-reply access-list 199 permit icmp any any echo access-list 199 permit icmp any any unreachable access-list 199 permit ip 192.168.2.0 255.255.255.192 any access-list 199 permit ip host 192.168.2.64 any access-list 199 permit ip host 192.168.2.65 any access-list 199 permit ip host 192.168.2.66 any access-list 199 permit ip host 192.168.2.67 any access-list 199 permit ip host 192.168.2.68 any access-list 199 permit ip host 192.168.2.69 any access-list 199 permit ip host 192.168.2.70 any access-list 199 permit ip host 192.168.2.71 any access-list 199 permit ip host 192.168.2.72 any access-list 199 permit ip host 192.168.2.73 any access-list 199 permit ip host 192.168.2.74 any access-list 199 permit ip host 192.168.2.75 any access-list 199 permit ip host 192.168.2.76 any access-list 199 permit ip host 192.168.2.77 any access-list 199 permit ip host 192.168.2.78 any access-list 199 permit ip host 192.168.2.79 any access-list 199 permit ip host 192.168.2.80 any access-list 199 permit ip 192.168.100.0 255.255.255.192 any access-list 199 permit tcp 192.168.0.0 255.255.0.0 host 192.168.164.56 eq lotusnotes access-list 199 permit tcp 192.168.0.0 255.255.0.0 host 192.168.164.55 eq 1533 access-list 199 permit tcp 192.168.0.0 255.255.0.0 host 192.168.164.12 eq www access-list 199 permit udp 192.168.0.0 255.255.0.0 host 192.168.164.51 eq domain access-list 199 permit tcp 192.168.0.0 255.255.0.0 host 192.168.164.53 eq www access-list 199 permit tcp 192.168.0.0 255.255.0.0 host 192.168.137.24 eq www access-list 199 permit tcp 192.168.0.0 255.255.0.0 host 192.168.137.23 eq www access-list 199 permit tcp 192.168.0.0 255.255.0.0 host 192.168.137.17 eq www access-list 199 permit tcp 192.168.0.0 255.255.0.0 host 192.168.137.14 eq 1433 access-list 199 permit udp host 192.168.76.109 host 192.168.137.3 eq syslog access-list 199 permit tcp host 192.168.103.13 host 192.168.137.15 eq smtp access-list 199 permit tcp host 192.168.103.13 host 192.168.137.15 eq pop3 access-list 199 permit ip 192.168.2.0 255.255.255.0 any access-list 199 permit gre 192.168.0.0 255.255.0.0 host 192.168.164.53 access-list 199 permit tcp 192.168.103.0 255.255.255.0 host 192.168.164.53 eq 84 access-list 199 permit tcp 192.168.140.0 255.255.255.0 host 192.168.164.53 eq pptp access-list 199 permit udp 192.168.0.0 255.255.0.0 host 192.168.137.3 eq 8888 access-list mka_guzgr permit ip 10.36.28.0 255.255.255.0 10.36.38.0 255.255.255.0 access-list guzgr_meria deny ip 10.36.38.0 255.255.255.0 10.36.28.0 255.255.255.0 access-list guzgr_meria permit ip 10.36.38.0 255.255.255.0 10.0.0.0 255.0.0.0 access-list guzgr deny ip 10.36.38.0 255.255.255.0 192.168.0.0 255.255.0.0 access-list guzgr deny ip 10.36.38.0 255.255.255.0 10.0.0.0 255.0.0.0 access-list guzgr permit ip 10.36.38.0 255.255.255.0 10.36.28.0 255.255.255.0 access-list guzgr permit ip 10.36.38.0 255.255.255.0 any access-list mail permit ip host 10.36.28.17 any access-list mail permit ip host 10.36.28.23 any access-list mka deny ip host 10.36.28.17 any access-list mka deny ip host 10.36.28.23 any access-list mka permit ip 10.36.28.0 255.255.255.0 any access-list FromDrug permit icmp any any echo-reply access-list FromDrug permit icmp any any echo access-list FromDrug permit icmp any any unreachable access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 10.61.17.12 eq ftp access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 10.61.17.12 eq ftp-data access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 10.36.28.14 eq 1433 access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 10.36.28.17 eq www access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 10.36.28.17 eq pop3 access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 10.36.28.23 eq www access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 10.36.28.24 eq www access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 10.36.28.23 eq https access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 192.168.164.56 eq lotusnotes access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 192.168.164.53 eq www access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 192.168.164.55 eq 1533 access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 192.168.164.56 eq pop3 access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 192.168.164.56 eq smtp access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 192.168.164.12 eq www access-list FromDrug permit udp 10.36.38.0 255.255.255.0 host 192.168.164.51 eq domain access-list FromDrug deny ip 10.36.38.0 255.255.255.0 192.168.164.0 255.255.255.0 access-list FromDrug deny ip 10.36.38.0 255.255.255.0 10.36.28.0 255.255.255.0 access-list FromDrug permit ip 10.36.38.0 255.255.255.0 any access-list guzgr_teleset permit ip 10.36.38.0 255.255.255.0 192.168.0.0 255.255.0.0 access-list guzgr_teleset permit icmp 10.36.38.0 255.255.255.0 192.168.0.0 255.255.0.0 access-list servers permit ip 192.168.164.0 255.255.255.0 any access-list from_glavapu permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq www access-list from_glavapu permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.54 eq www access-list from_glavapu permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1433 access-list from_glavapu permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1533 access-list from_glavapu permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq lotusnotes access-list mka_to_apu permit ip 10.36.28.0 255.255.255.0 131.108.32.0 255.255.240.0 pager lines 24 logging on logging monitor debugging logging trap informational logging facility 23 logging host inside 10.36.28.3 mtu outside 1500 mtu inside 1500 mtu glavapu 1500 mtu intf3 1500 mtu intf4 1500 mtu intf5 1500 no ip address outside ip address inside 10.36.28.1 255.255.255.0 ip address glavapu 131.108.40.50 255.255.240.0 no ip address intf3 no ip address intf4 no ip address intf5 ip address teleset 192.168.76.125 255.255.255.0 ip address friend-org 10.36.38.1 255.255.255.0 ip address internet 10.36.58.10 255.255.255.0 ip audit info action alarm ip audit attack action alarm no failover failover timeout 0:00:00 failover poll 15 no failover ip address outside no failover ip address inside no failover ip address glavapu no failover ip address intf3 no failover ip address intf4 no failover ip address intf5 no failover ip address teleset no failover ip address friend-org no failover ip address internet pdm history enable arp timeout 14400 global (glavapu) 6 131.108.40.52 netmask 255.255.255.255 global (teleset) 4 192.168.137.254 netmask 255.255.255.255 global (internet) 3 10.36.28.253 netmask 255.255.255.255 global (internet) 2 10.36.28.23 netmask 255.255.255.255 global (internet) 5 10.36.28.251 netmask 255.255.255.255 nat (inside) 0 access-list mka_guzgr nat (inside) 2 access-list mail 0 0 nat (inside) 3 access-list mka 0 0 nat (inside) 5 access-list servers 0 0 nat (inside) 6 10.36.28.0 255.255.255.0 0 0 nat (friend-org) 0 access-list guzgr nat (friend-org) 3 access-list guzgr_meria 0 0 nat (friend-org) 4 access-list guzgr_teleset 0 0 static (inside,internet) tcp 10.36.28.23 smtp 10.36.28.17 smtp netmask 255.255.255.255 0 0 static (inside,internet) tcp 10.36.28.23 www 10.36.28.23 www netmask 255.255.255.255 0 0 static (inside,internet) tcp 10.36.28.23 5000 10.36.28.23 5000 netmask 255.255.255.255 0 0 static (inside,glavapu) tcp 131.108.40.55 www 192.168.164.53 www netmask 255.255.255.255 0 0 static (inside,glavapu) tcp 131.108.40.55 1433 10.36.28.14 1433 netmask 255.255.255.255 0 0 static (inside,glavapu) tcp 131.108.40.55 1533 192.168.164.55 1533 netmask 255.255.255.255 0 0 static (inside,glavapu) tcp 131.108.40.55 lotusnotes 192.168.164.56 lotusnotes netmask 255.255.255.255 0 0 static (inside,glavapu) tcp 131.108.40.54 www 10.36.28.24 www netmask 255.255.255.255 0 0 static (inside,internet) 10.36.28.6 10.36.28.6 netmask 255.255.255.255 0 0 static (inside,internet) 10.36.28.3 10.36.28.3 netmask 255.255.255.255 0 0 static (inside,teleset) 192.168.164.0 192.168.164.0 netmask 255.255.255.0 0 0 static (inside,teleset) 192.168.137.0 10.36.28.0 netmask 255.255.255.128 0 0 static (inside,teleset) 192.168.137.128 10.36.28.128 netmask 255.255.255.192 0 0 static (inside,teleset) 192.168.137.192 10.36.28.192 netmask 255.255.255.224 0 0 static (inside,teleset) 192.168.137.224 10.36.28.224 netmask 255.255.255.240 0 0 static (inside,teleset) 192.168.137.240 10.36.28.240 netmask 255.255.255.248 0 0 static (inside,teleset) 192.168.137.248 10.36.28.248 netmask 255.255.255.252 0 0 static (inside,friend-org) 192.168.164.0 192.168.164.0 netmask 255.255.255.0 0 0 static (inside,internet) 10.36.28.14 10.36.28.14 netmask 255.255.255.255 0 0 access-group from_glavapu in interface glavapu access-group 199 in interface teleset access-group FromDrug in interface friend-org access-group From_Internet in interface internet route internet 0.0.0.0 0.0.0.0 10.36.58.1 1 route teleset 192.168.0.0 255.255.0.0 192.168.76.126 1 route inside 192.168.164.0 255.255.255.0 10.36.28.10 1 timeout xlate 3:00:00 timeout conn 5:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local aaa authentication ssh console LOCAL http server enable http 10.36.28.8 255.255.255.255 inside snmp-server host inside 10.36.28.6 no snmp-server location no snmp-server contact snmp-server community pix515 no snmp-server enable traps tftp-server inside 10.36.28.1 /pix floodguard enable telnet 10.36.28.0 255.255.255.0 inside telnet 10.61.20.0 255.255.255.0 inside telnet timeout 10 ssh 192.168.2.0 255.255.255.0 outside ssh 10.36.28.0 255.255.255.0 inside ssh 192.168.2.0 255.255.255.0 teleset ssh timeout 20 console timeout 0 username mdipix password EDpuyHo1ZCRGZ4Od encrypted privilege 15 terminal width 80 Cryptochecksum:8e93d90ed0afc0e65dc7535a0e080ad3 : end
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "PIX-515 не хочет транслировать сетку. "
	Сообщение от AMG (ok) on 01-Июн-06, 16:33
	>>Добрый день всем. >> >>при добавлении новой сети на пикс, столкнулся со след. проблемой - статические >>трансляции в/из этой сети работают, а динамические нет! вот конфиг относительно >>новой сети - >> >> >>interface ethernet2 auto >>interface ethernet1 auto >> >> >>nameif ethernet1 inside security100 >>nameif ethernet2 newnet security9 >> >>ip address inside 10.36.28.1 255.255.255.0 >>ip address newnet 131.108.40.50 255.255.240.0 >> >>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq www >>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.54 eq www >>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1433 >>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1533 >>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1352 >> >> >>static (inside,newnet) tcp 131.108.40.55 www 192.168.164.53 www netmask 255.255.255.255 >>static (inside,newnet) tcp 131.108.40.55 1433 10.36.28.14 1433 netmask 255.255.255.255 >>static (inside,newnet) tcp 131.108.40.55 1533 192.168.164.55 1533 netmask 255.255.255.255 >>static (inside,newnet) tcp 131.108.40.55 lotusnotes 192.168.164.56 lotusnotes netmask 255.255.255.255 >> >>static (inside,newnet) tcp 131.108.40.54 www 10.36.28.24 www netmask 255.255.255.255 >> >>Вообщем, эти трансляции работают "на ура" доступ из сети 131.108.32.0 в >>сеть 192.168.164.0 по нужным портам есть. >> >>Теперь >>Необходимо сделать доступ из inside в newnet. >>Добавляю - >>global (newnet) 6 131.108.40.52 netmask 255.255.255.255 >>nat (inside) 6 access-list inside_to_newnet >>access-list inside_to_newnet permit ip 10.36.28.0 255.255.255.0 131.108.32.0 255.255.240.0 > >а нужен именно полиси-нат? > >как вариант попробуйте nat (inside) 6 10.... 255.255.255.0 Я так пробовал уже - те же грабли... > >> >> >>при попытке сделать соединение в сеть 131.108 пикс пишет в лог (уровень >>дебаг) >> >> >>Jun 1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp >>src inside:10.36.28.3/2801 dst newnet:131.108.32.5/1433 >>Jun 1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp >>src inside:10.36.28.3/4952 dst newnet:131.108.32.5/1433 >>Jun 1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp >>src inside:10.36.28.3/4578 dst newnet:131.108.32.5/1433 >>Jun 1 15:35:07 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp >>src inside:10.36.28.3/3724 dst newnet:131.108.32.5/1433 >> >>посмотрел описание ошибки - %PIX-3-305006 - вроде не мой случай. >> >>Зато если сказать вот так >> >>static (inside,newnet) 131.108.40.53 10.36.28.3 netmask 255.255.255.255 >> >>машина 10.36.28.3 будет ходить в данную сеть без проблем (ну и обратно >>соотв.)! >> >> >>Народ, подскажите, плз, отчего такое может быть, А? >> >>СПАСИБО зАРАНЕЕ >> >> >> >>PS> >> >>да, на пиксе еще другие сетки - там все нормально работают наты >>в аналогичных конфигурациях! >> >>PPS> >>На интерфейсе inside присутствуют две сети 192.168.164.0 и 10.36.28.0 > >эт как? на одном интерфейсе два адреса? да, inside соединяется с внутренней сетью, в которой еще за одним роутером находится серверный сегмент 192.168.164.0
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	5. "PIX-515 не хочет транслировать сетку. "
	Сообщение от ilya (ok) on 01-Июн-06, 17:01
	>>>Добрый день всем. >>> >>>при добавлении новой сети на пикс, столкнулся со след. проблемой - статические >>>трансляции в/из этой сети работают, а динамические нет! вот конфиг относительно >>>новой сети - >>> >>> >>>interface ethernet2 auto >>>interface ethernet1 auto >>> >>> >>>nameif ethernet1 inside security100 >>>nameif ethernet2 newnet security9 >>> >>>ip address inside 10.36.28.1 255.255.255.0 >>>ip address newnet 131.108.40.50 255.255.240.0 >>> >>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq www >>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.54 eq www >>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1433 >>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1533 >>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1352 >>> >>> >>>static (inside,newnet) tcp 131.108.40.55 www 192.168.164.53 www netmask 255.255.255.255 >>>static (inside,newnet) tcp 131.108.40.55 1433 10.36.28.14 1433 netmask 255.255.255.255 >>>static (inside,newnet) tcp 131.108.40.55 1533 192.168.164.55 1533 netmask 255.255.255.255 >>>static (inside,newnet) tcp 131.108.40.55 lotusnotes 192.168.164.56 lotusnotes netmask 255.255.255.255 >>> >>>static (inside,newnet) tcp 131.108.40.54 www 10.36.28.24 www netmask 255.255.255.255 >>> >>>Вообщем, эти трансляции работают "на ура" доступ из сети 131.108.32.0 в >>>сеть 192.168.164.0 по нужным портам есть. >>> >>>Теперь >>>Необходимо сделать доступ из inside в newnet. >>>Добавляю - >>>global (newnet) 6 131.108.40.52 netmask 255.255.255.255 >>>nat (inside) 6 access-list inside_to_newnet >>>access-list inside_to_newnet permit ip 10.36.28.0 255.255.255.0 131.108.32.0 255.255.240.0 >> >>а нужен именно полиси-нат? >> >>как вариант попробуйте nat (inside) 6 10.... 255.255.255.0 >Я так пробовал уже - те же грабли... 1. после изменения трансляции cl xl пробовали? 2. трансляция не работает только по указанному порту или вообще? судя по конфигу все должно работать (другие трансляции наверняка же работают?)
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	6. "PIX-515 не хочет транслировать сетку. "
	Сообщение от AMG (ok) on 01-Июн-06, 17:09
	>>>>Добрый день всем. >>>> >>>>при добавлении новой сети на пикс, столкнулся со след. проблемой - статические >>>>трансляции в/из этой сети работают, а динамические нет! вот конфиг относительно >>>>новой сети - >>>> >>>> >>>>interface ethernet2 auto >>>>interface ethernet1 auto >>>> >>>> >>>>nameif ethernet1 inside security100 >>>>nameif ethernet2 newnet security9 >>>> >>>>ip address inside 10.36.28.1 255.255.255.0 >>>>ip address newnet 131.108.40.50 255.255.240.0 >>>> >>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq www >>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.54 eq www >>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1433 >>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1533 >>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1352 >>>> >>>> >>>>static (inside,newnet) tcp 131.108.40.55 www 192.168.164.53 www netmask 255.255.255.255 >>>>static (inside,newnet) tcp 131.108.40.55 1433 10.36.28.14 1433 netmask 255.255.255.255 >>>>static (inside,newnet) tcp 131.108.40.55 1533 192.168.164.55 1533 netmask 255.255.255.255 >>>>static (inside,newnet) tcp 131.108.40.55 lotusnotes 192.168.164.56 lotusnotes netmask 255.255.255.255 >>>> >>>>static (inside,newnet) tcp 131.108.40.54 www 10.36.28.24 www netmask 255.255.255.255 >>>> >>>>Вообщем, эти трансляции работают "на ура" доступ из сети 131.108.32.0 в >>>>сеть 192.168.164.0 по нужным портам есть. >>>> >>>>Теперь >>>>Необходимо сделать доступ из inside в newnet. >>>>Добавляю - >>>>global (newnet) 6 131.108.40.52 netmask 255.255.255.255 >>>>nat (inside) 6 access-list inside_to_newnet >>>>access-list inside_to_newnet permit ip 10.36.28.0 255.255.255.0 131.108.32.0 255.255.240.0 >>> >>>а нужен именно полиси-нат? >>> >>>как вариант попробуйте nat (inside) 6 10.... 255.255.255.0 >>Я так пробовал уже - те же грабли... >1. после изменения трансляции cl xl пробовали? >2. трансляция не работает только по указанному порту или вообще? > >судя по конфигу все должно работать (другие трансляции наверняка же работают?) нет трансляция не работает вообще (т.е. динам. трансляция 10.хххх сеть в 131.108 - не пашет. А статическая трансляция с этой сетью - работает без проблем. clear xlate делал, конечно! Сейчас вспомнил - что недавно хотел в тестовых целях добавить НА ДРУГОЙ ИФЕЙС другую сеть, тоже нужно было динам. трансл. сделать - та же ошибка выскочила - но, тогда просто забил и решили по-другому вопрос. Вот, что меня смущает - PIX-3-305006: Regular translation creation failed for protocol src int_name:IP_addr/port dst int_name:IP_addr/port !!!Action This message can be either an internal error or an error in the configuration.!!!
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	7. "PIX-515 не хочет транслировать сетку. "
	Сообщение от lomo on 01-Июн-06, 19:08
	поставьте для начала 6.3(5) - там поправили несколько проблем с NAT...
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]