The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Настройка PIX 506"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Настройка PIX 506"  
Сообщение от Scoffer (ok) on 12-Июл-07, 10:03 
Это мой первый опыт в настройке подобного оборудования, поэтому заранее извеняюсь, за возможные глупые вопросы.
Описание проблемы:
Есть внутренняя сеть 192.168.3.0. В которой расположены: www сервер (192.168.2.233) и почтовый сервер (192.168.3.234). Нужно разрешить доступ из внешней сети к этим серверам, а из внутренней сети доступ в интернет. Есть пул реальных ip адресов 91.195.232.210 - 222.
Адреса интерфейсов PIX 192.168.3.3 и 91.195.232.210. После конфигурации PIX доступ в инетрнет открыть получилось, а вот увидеть сервера из внешней сети не получается (даже ping не проходит). Конфигурация PIX:

interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
hostname pixfirewall
domain-name kemerovo.asud.ru
clock timezone KRAST 7
clock summer-time KRADT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
no fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
no fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
no fixup protocol tftp 69
names
object-group service http_https_ftp tcp
  port-object eq www
  port-object eq ftp
  port-object eq https
access-list inside_authentication_LOCAL permit tcp any any eq www
access-list outside_access_in permit icmp any any
access-list 100 permit icmp any any echo-reply
access-list 100 permit icmp any any time-exceeded
access-list 100 permit icmp any any unreachable
access-list 100 permit tcp any eq aol 91.195.232.0 255.255.255.0
access-list 100 permit tcp any host 91.195.232.216 eq www
access-list 100 permit tcp any host 91.195.232.216 eq ftp
access-list 100 permit tcp any host 91.195.232.217 eq smtp
access-list 100 deny ip any any
pager lines 24
logging on
logging buffered errors
logging trap notifications
logging host inside 192.168.3.233
mtu outside 1500
mtu inside 1500
ip address outside 91.195.232.210 255.255.255.0
ip address inside 192.168.3.3 255.255.255.0
ip verify reverse-path interface outside
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.3.233 255.255.255.255 inside
pdm location 192.168.3.234 255.255.255.255 inside
pdm location 91.195.232.216 255.255.255.255 outside
pdm location 192.168.3.233 255.255.255.255 outside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 91.195.232.211-91.195.232.214
global (outside) 1 91.195.232.215
nat (inside) 1 0.0.0.0 0.0.0.0 dns 0 0
static (inside,outside) 91.195.232.217 192.168.3.234 netmask 255.255.255.255 0 0

static (inside,outside) 91.195.232.216 192.168.3.233 netmask 255.255.255.255 0 0

access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 91.195.232.209 1
timeout xlate 0:20:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:00:00 absolute uauth 0:20:00 inactivity

aaa-server LOCAL protocol local
url-cache dst 1KB
aaa authentication http console LOCAL
aaa authentication match inside_authentication_LOCAL inside LOCAL
http server enable
http 192.168.3.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
virtual http 192.168.3.5
floodguard enable
sysopt noproxyarp inside
telnet 192.168.3.233 255.255.255.255 inside
telnet timeout 5

Подскажите где я ошибся? Заранее спасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Настройка PIX 506"  
Сообщение от asto (??) on 12-Июл-07, 10:26 
Записи-то создаются в таблице трансляции, что show xlate показывает? На первый взгляд, все корректно....
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Настройка PIX 506"  
Сообщение от Scoffer (ok) on 12-Июл-07, 12:25 
>Записи-то создаются в таблице трансляции, что show xlate показывает? На первый взгляд,
>все корректно....
Записи в таблице создаются, как я понимаю корректно. Что-то вроде того:
...
PAT Global 91.195.232.215(4120) Local 192.168.3.93(1043)
Global 91.195.232.214 Local 192.168.3.71
PAT Global 91.195.232.215(23120) Local 192.168.3.60(3941)
PAT Global 91.195.232.215(7154) Local 192.168.3.64(1574)
PAT Global 91.195.232.215(7157) Local 192.168.3.98(1086)
PAT Global 91.195.232.215(7159) Local 192.168.3.89(2521)
PAT Global 91.195.232.215(7132) Local 192.168.3.132(1674)
PAT Global 91.195.232.215(7134) Local 192.168.3.89(2517)
PAT Global 91.195.232.215(7135) Local 192.168.3.83(1261)
PAT Global 91.195.232.215(24136) Local 192.168.3.60(4399)
PAT Global 91.195.232.215(1869) Local 192.168.3.55 ICMP id 512
PAT Global 91.195.232.215(2857) Local 192.168.3.60(10361)
PAT Global 91.195.232.215(2576) Local 192.168.3.132(1038)
PAT Global 91.195.232.215(2513) Local 192.168.3.83(1043)
PAT Global 91.195.232.215(2522) Local 192.168.3.83(1046)
Global 91.195.232.212 Local 192.168.3.182
PAT Global 91.195.232.215(2368) Local 192.168.3.47(1047)
...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Настройка PIX 506"  
Сообщение от asto (??) on 12-Июл-07, 15:04 
В этой таблице записи, которые добавлены командой static, есть?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Настройка PIX 506"  
Сообщение от Scoffer (ok) on 13-Июл-07, 05:17 
>В этой таблице записи, которые добавлены командой static, есть?
А как должны выглядеть эти записи?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Настройка PIX 506"  
Сообщение от asto (ok) on 16-Июл-07, 15:00 
>>В этой таблице записи, которые добавлены командой static, есть?
>А как должны выглядеть эти записи?

Global 91.195.232.217 Local 192.168.3.234 - записи, добавленные статическим NAT'ом

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Настройка PIX 506"  
Сообщение от Scoffer (??) on 18-Июл-07, 05:57 
>>>В этой таблице записи, которые добавлены командой static, есть?
>>А как должны выглядеть эти записи?
>
>Global 91.195.232.217 Local 192.168.3.234 - записи, добавленные статическим NAT'ом

Есть такая запись. Но достучаться снаружи на 91.195.232.217 так и не получается.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Настройка PIX 506"  
Сообщение от asto (ok) on 18-Июл-07, 11:44 
>>>>В этой таблице записи, которые добавлены командой static, есть?
>>>А как должны выглядеть эти записи?
>>
>>Global 91.195.232.217 Local 192.168.3.234 - записи, добавленные статическим NAT'ом
>
>Есть такая запись. Но достучаться снаружи на 91.195.232.217 так и не получается.
>
Странно... должно работать...
В access-list 100 по строчкам
access-list 100 permit tcp any host 91.195.232.216 eq www
access-list 100 permit tcp any host 91.195.232.216 eq ftp
access-list 100 permit tcp any host 91.195.232.217 eq smtp
попадания вообще есть? пакеты-то до вашего пикса долетают?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Настройка PIX 506"  
Сообщение от Scoffer (??) on 19-Июл-07, 12:50 
>>>>>В этой таблице записи, которые добавлены командой static, есть?
>>>>А как должны выглядеть эти записи?
>>>
>>>Global 91.195.232.217 Local 192.168.3.234 - записи, добавленные статическим NAT'ом
>>
>>Есть такая запись. Но достучаться снаружи на 91.195.232.217 так и не получается.
>>
>Странно... должно работать...
>В access-list 100 по строчкам
>access-list 100 permit tcp any host 91.195.232.216 eq www
>access-list 100 permit tcp any host 91.195.232.216 eq ftp
>access-list 100 permit tcp any host 91.195.232.217 eq smtp
>попадания вообще есть? пакеты-то до вашего пикса долетают?

Все спасибо, заработало, точнее работало и раньше, надо было не пинговать а конкретно через telnet на 25 порт законектится.
А пинги проходят только если добавить:
access-list 100 permit icmp any host 91.195.232.217 any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Настройка PIX 506"  
Сообщение от XPurple email(ok) on 19-Июл-07, 13:01 
>>>>>>В этой таблице записи, которые добавлены командой static, есть?
>>>>>А как должны выглядеть эти записи?
>>>>
>>>>Global 91.195.232.217 Local 192.168.3.234 - записи, добавленные статическим NAT'ом
>>>
>>>Есть такая запись. Но достучаться снаружи на 91.195.232.217 так и не получается.
>>>
>>Странно... должно работать...
>>В access-list 100 по строчкам
>>access-list 100 permit tcp any host 91.195.232.216 eq www
>>access-list 100 permit tcp any host 91.195.232.216 eq ftp
>>access-list 100 permit tcp any host 91.195.232.217 eq smtp
>>попадания вообще есть? пакеты-то до вашего пикса долетают?
>
>Все спасибо, заработало, точнее работало и раньше, надо было не пинговать а
>конкретно через telnet на 25 порт законектится.
>А пинги проходят только если добавить:
>access-list 100 permit icmp any host 91.195.232.217 any
access-list 100 permit icmp any any echo-reply
access-list 100 permit icmp any any time-exceeded
access-list 100 permit icmp any any unreachable
Скорее всего не хватало строчки
..... any echo-request

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру