форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"CiscoPIX 515e и очередные проблемы"
Сообщение от XRoman on 10-Июл-03, 10:10  (MSK)
Доброго времени суток! Почитал тут сабж недавно про PIX515e и сделал такой же конфиг (ну немного переправленный). Результат: в и-нет локальных пользователей не пускает, WEB-server на DMZ из и-нета не видно. Подскажите где копать. Заранее спасибо. кидаю конфиг: PIX Version 6.1(2) nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security50 enable password tEaXkvZ0iAZgJY3M encrypted passwd ffyF0K5Qk7qYiVe1 encrypted hostname xray domain-name chelstat.ru fixup protocol ftp 21 fixup protocol http 80 fixup protocol h323 1720 fixup protocol rtsp 554 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol skinny 2000 no fixup protocol rsh 514 no fixup protocol sip 5060 names name 192.168.4.38 proxy name 62.33.80.137 gw name 10.0.0.2 webserver access-list outside_acl permit icmp any 62.33.80.136 255.255.255.252 echo-reply access-list outside_acl permit tcp any host 62.33.80.138 eq 80 pager lines 24 logging monitor warnings logging buffered debugging logging trap debugging interface ethernet0 100full interface ethernet1 100full interface ethernet2 100full mtu outside 1500 mtu inside 1500 mtu dmz 1500 ip address outside 62.33.80.138 255.255.255.252 ip address inside 192.168.4.1 255.255.255.0 ip address dmz 10.0.0.1 255.255.255.252 ip verify reverse-path interface outside ip verify reverse-path interface inside ip verify reverse-path interface dmz ip audit name syn attack action drop ip audit interface outside syn ip audit interface dmz syn ip audit info action alarm ip audit attack action alarm pdm location 62.33.80.138 255.255.255.255 outside pdm location 10.0.0.2 255.255.255.255 dmz pdm location gw 255.255.255.255 outside pdm location valera 255.255.255.255 inside pdm history enable arp timeout 14400 nat (inside) 1 192.168.4.0 255.255.255.0 0 0 static (dmz,outside) 62.33.80.138 10.0.0.2 netmask 255.255.255.255 0 0 access-group outside_acl in interface outside route outside 0.0.0.0 0.0.0.0 gw 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si p 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius http server enable http 192.168.4.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection timewait no sysopt route dnat telnet timeout 60 ssh 192.168.4.0 255.255.255.0 inside ssh timeout 5 terminal width 80 Cryptochecksum:33eb5ac6e943de2dea77510dc494819b
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "CiscoPIX 515e и очередные проблемы"
Сообщение от ВОЛКА on 10-Июл-03, 11:34  (MSK)
отсутствует команда global недостаточно адресов 1-й для outside-интерфейса пикса и PAT'a 2-й для сервера в DMZ 3-й для шлюза по умолчанию вам нужна сетка /29, а не /30
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "CiscoPIX 515e и очередные проблемы"
	Сообщение от XRoman on 10-Июл-03, 11:50  (MSK)
	>отсутствует команда global > >недостаточно адресов >1-й для outside-интерфейса пикса и PAT'a Провайдер дал сетку 62.33.80.136/30 и 62.33.80.132/30 >2-й для сервера в DMZ как насчет 62.22.80.138? >3-й для шлюза по умолчанию 62.33.80.137 >вам нужна сетка /29, а не /30 А из этих 2-х никак: Провайдер дал сетки 62.33.80.136/30 и 62.33.80.132/30
		Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "CiscoPIX 515e и очередные проблемы"
Сообщение от ВОЛКА on 10-Июл-03, 20:28  (MSK)
62.33.80.136/30 и 62.33.80.132/30 > >PIX Version 6.1(2) >nameif ethernet0 outside security0 >nameif ethernet1 inside security100 >nameif ethernet2 dmz security50 >enable password tEaXkvZ0iAZgJY3M encrypted >passwd ffyF0K5Qk7qYiVe1 encrypted >hostname xray >domain-name chelstat.ru >fixup protocol ftp 21 >fixup protocol http 80 >fixup protocol h323 1720 >fixup protocol rtsp 554 >fixup protocol smtp 25 >fixup protocol sqlnet 1521 >fixup protocol skinny 2000 >no fixup protocol rsh 514 >no fixup protocol sip 5060 >names >name 192.168.4.38 proxy >name 62.33.80.137 gw >name 10.0.0.2 webserver access-list OUTSIDE-ACL permit icmp any 62.33.80.138 255.255.255.255 echo-reply access-list OUTSIDE-ACL permit icmp any 62.33.80.132 255.255.255.255 echo-reply access-list outsOUTSIDE-ACL permit tcp any host 62.33.80.132 eq www >pager lines 24 >logging monitor warnings >logging buffered debugging >logging trap debugging >interface ethernet0 100full >interface ethernet1 100full >interface ethernet2 100full >mtu outside 1500 >mtu inside 1500 >mtu dmz 1500 >ip address outside 62.33.80.138 255.255.255.252 >ip address inside 192.168.4.1 255.255.255.0 >ip address dmz 10.0.0.1 255.255.255.252 >ip verify reverse-path interface outside >ip verify reverse-path interface inside >ip verify reverse-path interface dmz >ip audit name syn attack action drop >ip audit interface outside syn >ip audit interface dmz syn >ip audit info action alarm >ip audit attack action alarm >pdm location 62.33.80.138 255.255.255.255 outside >pdm location 10.0.0.2 255.255.255.255 dmz >pdm location gw 255.255.255.255 outside >pdm location valera 255.255.255.255 inside >pdm history enable >arp timeout 14400 global (outside) 1 interface >nat (inside) 1 192.168.4.0 255.255.255.0 0 0 static (dmz,outside) 62.33.80.132 10.0.0.2 netmask 255.255.255.255 0 0 access-group OUTSIDE-ACL in interface outside >route outside 0.0.0.0 0.0.0.0 gw 1 >timeout xlate 3:00:00 >timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si > >p 0:30:00 sip_media 0:02:00 >timeout uauth 0:05:00 absolute >aaa-server TACACS+ protocol tacacs+ >aaa-server RADIUS protocol radius >http server enable >http 192.168.4.0 255.255.255.0 inside >no snmp-server location >no snmp-server contact >snmp-server community public >no snmp-server enable traps >floodguard enable >sysopt connection timewait >no sysopt route dnat >telnet timeout 60 >ssh 192.168.4.0 255.255.255.0 inside >ssh timeout 5 >terminal width 80 >Cryptochecksum:33eb5ac6e943de2dea77510dc494819b
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "CiscoPIX 515e и очередные проблемы"
	Сообщение от XRoman on 10-Июл-03, 20:52  (MSK)
	>62.33.80.136/30 и 62.33.80.132/30 > >> >>PIX Version 6.1(2) >>nameif ethernet0 outside security0 >>nameif ethernet1 inside security100 >>nameif ethernet2 dmz security50 >>enable password tEaXkvZ0iAZgJY3M encrypted >>passwd ffyF0K5Qk7qYiVe1 encrypted >>hostname xray >>domain-name chelstat.ru >>fixup protocol ftp 21 >>fixup protocol http 80 >>fixup protocol h323 1720 >>fixup protocol rtsp 554 >>fixup protocol smtp 25 >>fixup protocol sqlnet 1521 >>fixup protocol skinny 2000 >>no fixup protocol rsh 514 >>no fixup protocol sip 5060 >>names >>name 192.168.4.38 proxy >>name 62.33.80.137 gw >>name 10.0.0.2 webserver >access-list OUTSIDE-ACL permit icmp any 62.33.80.138 255.255.255.255 echo-reply >access-list OUTSIDE-ACL permit icmp any 62.33.80.132 255.255.255.255 echo-reply >access-list outsOUTSIDE-ACL permit tcp any host 62.33.80.132 eq www какой же это хост? это адрес подсети. >>pager lines 24 >>logging monitor warnings >>logging buffered debugging >>logging trap debugging >>interface ethernet0 100full >>interface ethernet1 100full >>interface ethernet2 100full >>mtu outside 1500 >>mtu inside 1500 >>mtu dmz 1500 >>ip address outside 62.33.80.138 255.255.255.252 >>ip address inside 192.168.4.1 255.255.255.0 >>ip address dmz 10.0.0.1 255.255.255.252 >>ip verify reverse-path interface outside >>ip verify reverse-path interface inside >>ip verify reverse-path interface dmz >>ip audit name syn attack action drop >>ip audit interface outside syn >>ip audit interface dmz syn >>ip audit info action alarm >>ip audit attack action alarm >>pdm location 62.33.80.138 255.255.255.255 outside >>pdm location 10.0.0.2 255.255.255.255 dmz >>pdm location gw 255.255.255.255 outside >>pdm location valera 255.255.255.255 inside >>pdm history enable >>arp timeout 14400 >global (outside) 1 interface >>nat (inside) 1 192.168.4.0 255.255.255.0 0 0 >static (dmz,outside) 62.33.80.132 10.0.0.2 netmask 255.255.255.255 0 0 >access-group OUTSIDE-ACL in interface outside >>route outside 0.0.0.0 0.0.0.0 gw 1 >>timeout xlate 3:00:00 >>timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si >> >>p 0:30:00 sip_media 0:02:00 >>timeout uauth 0:05:00 absolute >>aaa-server TACACS+ protocol tacacs+ >>aaa-server RADIUS protocol radius >>http server enable >>http 192.168.4.0 255.255.255.0 inside >>no snmp-server location >>no snmp-server contact >>snmp-server community public >>no snmp-server enable traps >>floodguard enable >>sysopt connection timewait >>no sysopt route dnat >>telnet timeout 60 >>ssh 192.168.4.0 255.255.255.0 inside >>ssh timeout 5 >>terminal width 80 >>Cryptochecksum:33eb5ac6e943de2dea77510dc494819b Послушай, Волк, а если сделать так, чтобы не использовать nat. Т.е. gw(62.33.80.133)-----outside(62.33.80.134) --> dmz(62.33.80.137) ------ webserver (62.33.80.138), а сам маршрутизатор использовать как фильтр атак (syn,ping flood) и т.п. Как такую фишку замутить?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "CiscoPIX 515e и очередные проблемы"
	Сообщение от ВОЛКА on 10-Июл-03, 22:05  (MSK)
	ну и что, что адрес подсети... поидее должно работать....
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.