форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"PIX 515e и static"

Сообщение от dimokkk on 03-Апр-07, 10:47

Помогите, плс, совсем голову сломал: Есть pix 515 с dmz,outside и inside Outside идет к провайдеру, который выделил нам такую сетку x.x.x.232/29 вот конфиг PIX Version 6.3(4) .............. interface ethernet0 auto interface ethernet1 auto interface ethernet2 auto nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security50 ............ fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol ils 389 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 ................. access-list acl_in permit ip any any access-list acl_out permit ip any any access-list acl_dmz permit ip any any .................. ip address outside x.x.x.234 255.255.255.248 ip address inside 192.168.102.1 255.255.255.248 ip address dmz 192.168.101.1 255.255.255.0 .......... static (inside,dmz) 192.168.0.0 192.168.0.0 netmask 255.255.0.0 0 0 static (dmz,inside) 192.168.101.0 192.168.101.0 netmask 255.255.255.0 0 0 static (dmz,outside) x.x.x.237 192.168.101.2 netmask 255.255.255.255 static (dmz,outside) x.x.x.236 192.168.102.179 netmask 255.255.255.255 access-group acl_out in interface outside access-group acl_in in interface inside access-group acl_dmz in interface dmz ......... rip inside passive version 2 rip inside default version 2 rip dmz passive version 2 rip dmz default version 2 route outside 0.0.0.0 0.0.0.0 x.x.x.233 1 route inside 192.168.0.0 255.255.0.0 192.168.102.6 1 Задача: чтобы хост из dmz выходили и были доступны в инете. Вроде бы все по мануалу настроил, однако не получается из dmz наружу выйти. PS на строки access-list acl_in permit ip any any access-list acl_out permit ip any any access-list acl_dmz permit ip any any с точки зрения безопасности не смотрите - тестовые листы Заранее благодарен

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "PIX 515e и static"

Сообщение от Valery (??) on 05-Апр-07, 09:55

>Помогите, плс, совсем голову сломал: >Есть pix 515 с dmz,outside и inside >Outside идет к провайдеру, который выделил нам такую сетку x.x.x.232/29 >вот конфиг > >PIX Version 6.3(4) >.............. >interface ethernet0 auto >interface ethernet1 auto >interface ethernet2 auto >nameif ethernet0 outside security0 >nameif ethernet1 inside security100 >nameif ethernet2 dmz security50 >............ >fixup protocol dns maximum-length 512 >fixup protocol ftp 21 >fixup protocol h323 h225 1720 >fixup protocol h323 ras 1718-1719 >fixup protocol http 80 >fixup protocol ils 389 >fixup protocol rsh 514 >fixup protocol rtsp 554 >fixup protocol sip 5060 >fixup protocol sip udp 5060 >fixup protocol skinny 2000 >fixup protocol smtp 25 >fixup protocol sqlnet 1521 >fixup protocol tftp 69 >................. >access-list acl_in permit ip any any >access-list acl_out permit ip any any >access-list acl_dmz permit ip any any >.................. >ip address outside x.x.x.234 255.255.255.248 >ip address inside 192.168.102.1 255.255.255.248 >ip address dmz 192.168.101.1 255.255.255.0 >.......... >static (inside,dmz) 192.168.0.0 192.168.0.0 netmask 255.255.0.0 0 0 >static (dmz,inside) 192.168.101.0 192.168.101.0 netmask 255.255.255.0 0 0 >static (dmz,outside) x.x.x.237 192.168.101.2 netmask 255.255.255.255 >static (dmz,outside) x.x.x.236 192.168.102.179 netmask 255.255.255.255 >access-group acl_out in interface outside >access-group acl_in in interface inside >access-group acl_dmz in interface dmz >......... >rip inside passive version 2 >rip inside default version 2 >rip dmz passive version 2 >rip dmz default version 2 >route outside 0.0.0.0 0.0.0.0 x.x.x.233 1 >route inside 192.168.0.0 255.255.0.0 192.168.102.6 1 > >Задача: чтобы хост из dmz выходили и были доступны в инете. Вроде >бы все по мануалу настроил, однако не получается из dmz наружу >выйти. >PS на строки >access-list acl_in permit ip any any >access-list acl_out permit ip any any >access-list acl_dmz permit ip any any >с точки зрения безопасности не смотрите - тестовые листы > >Заранее благодарен На хостах в ДМЗ дефаултроутом прописан IP dmz интерфейса?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "PIX 515e и static"
	Сообщение от dimokkk on 05-Апр-07, 10:19
	Спасибо, уже разобрался - вот решение global (outside) 2 x.x.x.237 global (outside) 3 x.x.x.236 nat (dmz) 2 192.168.101.2 255.255.255.255 0 0 nat (dmz) 3 192.168.101.179 255.255.255.255 0 0 static (inside,dmz) 192.168.100.0 192.168.100.0 netmask 255.255.0.0 0 0 static (dmz,inside) 192.168.101.0 192.168.101.0 netmask 255.255.255.0 0 0 static (dmz,outside) x.x.x.237 192.168.101.2 netmask 255.255.255.255 0 0 static (dmz,outside) x.x.x.236 192.168.101.179 netmask 255.255.255.255 0 0 Я просто думал что static по умолчанию включает натирование на внешнем интерфейсе, оказывается все просто. Побежал acl писать :-)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]