форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Вопрос по NATу"

Сообщение от zav2384 (??) on 12-Фев-09, 10:05

Всем привет, запускаю pix... и столкнулся с такой проблемкой... Схема сети: LAN(Sec.level 100)---PIX---Провайдер(Sec.level 0)                       |                  FTP_Server(Sec.level 50) Есть один глобальный IP, который используется для выходя в интернет. Задача: настроить NAT т.о., чтобы был доступ на FTP_Server извне, а также из LAN по глобальному адресу. Вот выдержка из конфига: nat-control global (outside) 1 interface          //глобальный адрес nat (inside) 1 LAN 255.255.255.0      //PAT для выходя в интернет из LAN nat (intf2_DMZ) 1 192.168.3.0 255.255.255.0 //PAT для выходя в интернет из FTP_Server //Статический нат для подключения к FTP извне static (intf2_DMZ,outside) tcp interface ftp-data 192.168.3.5 ftp-data netmask 255.255.255.255 static (intf2_DMZ,outside) tcp interface ftp 192.168.3.5 ftp netmask 255.255.255.255 //Статический нат для подключения к FTP из LAN static (intf2_DMZ,inside) tcp Х.Х.Х.Х ftp-data 192.168.3.5 ftp-data netmask 255.255.255.255 static (intf2_DMZ,inside) tcp Х.Х.Х.Х ftp 192.168.3.5 ftp netmask 255.255.255.255 *где 192.168.3.5 - внутренний адрес FTP      X.X.X.X - глобальный адрес по сути извне доступ есть, а вот из LAN на FTP - нет, хотя все соответствующие разрешения на интерфейсах прописаны. Не могу понять, что неправильно?

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Вопрос по NATу"

Сообщение от zav2384 (??) on 12-Фев-09, 10:08

>Правильная схема сети: >   FTP_Server(Sec.level 50) ПОДКЛЮЧЕН К ОТДЕЛЬНОМУ ИНТЕРФЕйСУ PIX-a

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Вопрос по NATу"
	Сообщение от zav2384 (??) on 16-Фев-09, 11:29
	неужели ни у кого нет никаких мыслей... (это типа ап-п-п)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Вопрос по NATу"
	Сообщение от gagner (ok) on 17-Фев-09, 19:44
	Имхо, когда ты стучишься из лана на Х.Х.Х.Х у тебя трафик проходит через натовское правило, т.к. для пикса Х.Х.Х.Х - аутсайд. Попробуй сделать правило нат 0 для трафика из лана на Х.Х.Х.Х. Может поможет.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Вопрос по NATу"
	Сообщение от zav2384 (??) on 19-Фев-09, 08:23
	>Имхо, когда ты стучишься из лана на Х.Х.Х.Х у тебя трафик проходит >через натовское правило, т.к. для пикса Х.Х.Х.Х - аутсайд. Попробуй сделать >правило нат 0 для трафика из лана на Х.Х.Х.Х. Может поможет. > даже если заменить Х.Х.Х.Х на Y.Y.Y.Y(когда стучишься из лана) все равно не проходит!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Вопрос по NATу"
	Сообщение от gagner (ok) on 19-Фев-09, 12:52
	Y.Y.Y.Y - это что? Локальный адрес сервака? Кстати, что у тебя с секьюрити левелами? ACL? может в этом собака порылась?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Вопрос по NATу"
	Сообщение от zav2384 (??) on 19-Фев-09, 16:55
	>Y.Y.Y.Y - это что? Локальный адрес сервака? Кстати, что у тебя с >секьюрити левелами? ACL? может в этом собака порылась? вот вроде все проверял, все нормально... чуть позже выложу весь конфиг... он в принципе простой
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Вопрос по NATу"
	Сообщение от zav2384 (??) on 20-Фев-09, 08:02
	>>Y.Y.Y.Y - это что? Локальный адрес сервака? Кстати, что у тебя с >>секьюрити левелами? ACL? может в этом собака порылась? вот сам конфиг: pixfirewall# sh run : Saved : PIX Version 7.2(4) ! hostname pixfirewall domain-name default.domain.invalid enable password ZZZZZZZZZZZZ encrypted passwd ZZZZZZZZZZZ encrypted names name 192.168.2.0 LAN dns-guard ! interface Ethernet0 nameif outside security-level 0 pppoe client vpdn group pppoe-ddn ip address pppoe setroute ospf cost 10 ! interface Ethernet1 nameif inside security-level 100 ip address 192.168.2.2 255.255.255.0 ospf cost 10 ! interface Ethernet2 description Server Web-Media nameif intf2_DMZ security-level 50 ip address 192.168.3.1 255.255.255.0 ospf cost 10 ! interface Ethernet3 shutdown nameif intf3 security-level 6 no ip address ospf cost 10 ! interface Ethernet4 shutdown nameif intf4 security-level 8 no ip address ospf cost 10 ! interface Ethernet5 nameif intf5 security-level 100 ip address 192.168.10.1 255.255.255.0 ospf cost 10 management-only ! boot system flash:/pix724.bin ftp mode passive clock timezone SAMST 4 clock summer-time SAMDT recurring last Sun Mar 2:00 last Sun Oct 3:00 dns domain-lookup outside dns server-group DefaultDNS name-server 1.1.0.1 name-server 1.1.1.1 domain-name default.domain.invalid same-security-traffic permit intra-interface object-group service dns udp port-object eq domain access-list 100 extended permit tcp any any eq ssh access-list 100 extended permit tcp any host X.X.X.53 eq www access-list 100 extended permit tcp any host X.X.X.53 eq https access-list 100 extended permit tcp any host X.X.X.53 eq ftp access-list 100 extended permit tcp any host X.X.X.53 eq ftp-data access-list inside_access_in_1 extended permit udp any any eq domain access-list inside_access_in_1 extended permit tcp any any eq https access-list inside_access_in_1 extended permit tcp any any eq www access-list inside_access_in_1 extended permit tcp any any eq ftp access-list inside_access_in_1 extended permit tcp any any eq ftp-data access-list inside_access_in_1 extended permit tcp any host 192.168.2.37 access-list inside_access_in_1 extended permit tcp host 192.168.2.37 any access-list intf2_DMZ_access_in extended permit tcp host 192.168.3.5 any eq www access-list intf2_DMZ_access_in extended permit tcp host 192.168.3.5 any eq https access-list intf2_DMZ_access_in extended permit tcp any any eq ftp access-list intf2_DMZ_access_in extended permit tcp any any eq ftp-data access-list intf2_DMZ_access_in remark DNS access-list intf2_DMZ_access_in extended permit udp any any eq domain pager lines 24 logging enable logging buffered errors logging trap notifications logging asdm informational mtu outside 1500 mtu inside 1500 mtu intf2_DMZ 1500 mtu intf3 1500 mtu intf4 1500 mtu intf5 1500 no failover icmp unreachable rate-limit 1 burst-size 1 icmp permit any outside icmp permit any inside icmp permit any intf2_DMZ asdm image flash:/asdm-524.bin asdm history enable arp timeout 14400 nat-control global (outside) 1 interface nat (inside) 1 LAN 255.255.255.0 nat (intf2_DMZ) 1 192.168.3.0 255.255.255.0 static (intf2_DMZ,outside) tcp interface ftp-data 192.168.3.5 ftp-data netmask 255.255.255.255 static (intf2_DMZ,outside) tcp interface ftp 192.168.3.5 ftp netmask 255.255.255.255 static (intf2_DMZ,inside) tcp X.X.X.53 ftp-data 192.168.3.5 ftp-data netmask 255.255.255.255 static (intf2_DMZ,inside) tcp X.X.X.53 ftp 192.168.3.5 ftp netmask 255.255.255.255 access-group 100 in interface outside access-group inside_access_in_1 in interface inside access-group intf2_DMZ_access_in in interface intf2_DMZ timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute aaa authentication ssh console LOCAL aaa authentication enable console LOCAL http server enable http 192.168.1.0 255.255.255.0 inside http 0.0.0.0 0.0.0.0 outside http 192.168.10.0 255.255.255.0 intf5 no snmp-server location no snmp-server contact snmp-server community public snmp-server enable traps snmp authentication linkup linkdown coldstart no sysopt connection permit-vpn telnet 0.0.0.0 0.0.0.0 outside telnet timeout 5 ssh 0.0.0.0 0.0.0.0 outside ssh timeout 12 console timeout 0 vpdn group pppoe-ddn request dialout pppoe vpdn group pppoe-ddn localname domdn vpdn group pppoe-ddn ppp authentication pap vpdn username domdn password ********* store-local dhcpd ping_timeout 750 ! username admin password h04ZTQoalVSgn73/ encrypted privilege 15 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns migrated_dns_map_1 parameters   message-length maximum 512 policy-map global_policy class inspection_default   inspect dns migrated_dns_map_1   inspect ftp   inspect h323 h225   inspect h323 ras   inspect http   inspect netbios   inspect rsh   inspect rtsp   inspect skinny   inspect sqlnet   inspect sunrpc   inspect tftp   inspect sip   inspect xdmcp   inspect icmp   inspect icmp error   inspect snmp ! service-policy global_policy global prompt hostname context Cryptochecksum:bef75ea129930d1b641f86c2eee1d135 : end pixfirewall#
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Вопрос по NATу"
	Сообщение от zav2384 (??) on 25-Фев-09, 15:11
	to gagner... твое мнение?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]