The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Cisco PIX 515E Firewall"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Cisco PIX 515E Firewall" 
Сообщение от eagla emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 05-Сен-03, 23:47  (MSK)
Народ, требуется помощь... существует subj ( Cisco PIX Firewall ). На внешнем ethernet0 поднята сеть x.x.1.2 netmask 255.255.255.252 и поднят дефолт x.x.1.1, на ethernet1 ( по причине наличия серверов с реальными адресами под Windows 2000 Advanced Server ) поднята сеть x.x.2.2 netmask 255.255.255.128 но ни с одного адреса x.x.2.N я не могу получить доступа наружу через циску.. она умеет это дело делать ? или она только скрывает внутреннюю сеть и выпускает ее через НАТ... если умеет, народ подскажите или скиньте более менее подробный конфиг.. заранее спасибо...
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Cisco PIX 515E Firewall" 
Сообщение от Volume Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 06-Сен-03, 23:04  (MSK)
>Народ, требуется помощь... существует subj ( Cisco PIX Firewall ). На внешнем
>ethernet0 поднята сеть x.x.1.2 netmask 255.255.255.252 и поднят дефолт x.x.1.1, на
>ethernet1 ( по причине наличия серверов с реальными адресами под Windows
>2000 Advanced Server ) поднята сеть x.x.2.2 netmask 255.255.255.128 но ни
>с одного адреса x.x.2.N я не могу получить доступа наружу через
>циску.. она умеет это дело делать ? или она только скрывает
>внутреннюю сеть и выпускает ее через НАТ... если умеет, народ подскажите
>или скиньте более менее подробный конфиг.. заранее спасибо...


ну хотябы sh run или wr t для начала, а? и еще бы sh ver не помешало бы

или может кто-нибудь телепатией увлекается? :))

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Cisco PIX 515E Firewall" 
Сообщение от eagla emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 08-Сен-03, 05:57  (MSK)
>
>или может кто-нибудь телепатией увлекается? :))
телепатия телепатией ;) но представь, что нужно с нуля все добавить;)
хотя может это не уменя глюки. но в общем примерно следующее
ip address outside 1.2.3.2 255.255.255.252
ip address inside  2.3.4.2 255.255.255.128
route outside 0.0.0.0 0.0.0.0 1.2.3.1 1
внутри адреса 2.3.4.1 , 2.3.4.3 и т.д.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Cisco PIX 515E Firewall" 
Сообщение от Volume Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 08-Сен-03, 15:57  (MSK)
>>
>>или может кто-нибудь телепатией увлекается? :))
>телепатия телепатией ;) но представь, что нужно с нуля все добавить;)
>хотя может это не уменя глюки. но в общем примерно следующее
>ip address outside 1.2.3.2 255.255.255.252
>ip address inside  2.3.4.2 255.255.255.128
>route outside 0.0.0.0 0.0.0.0 1.2.3.1 1
>внутри адреса 2.3.4.1 , 2.3.4.3 и т.д.

вы наверное не понимаете

конфиг покажите, еще раз прошу

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Cisco PIX 515E Firewall" 
Сообщение от eagla emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Сен-03, 05:30  (MSK)

>конфиг покажите, еще раз прошу
извиняюсь... вот конфиг
PIX Version 6.1(4)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
name x.x.87.9 router
access-list outside_access_in permit ip any x.x.89.0 255.255.255.128
access-list inside_access_in permit ip x.x.89.0 255.255.255.128 any
pager lines 24
logging on
logging monitor warnings
interface ethernet0 auto
interface ethernet1 auto
icmp permit any outside
icmp permit any inside
mtu outside 1500
mtu inside 1500
ip address outside x.x.87.10 255.255.255.252
ip address inside x.x.89.2 255.255.255.128
ip audit info action alarm
ip audit attack action alarm
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
rip inside default version 1
route outside 0.0.0.0 0.0.0.0 router 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
http server enable
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat


мне сказали, что нужно, что то типа следующего
снутри наружу оно будет выходить, так как есть с клиента
подтверждение запроса, а чтобы снаружи попадало внутрь
надо писать разрешающие правила..

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Cisco PIX 515E Firewall" 
Сообщение от ВОЛКА emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Сен-03, 10:10  (MSK)
а где статические трансляции...?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Cisco PIX 515E Firewall" 
Сообщение от eagla emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Сен-03, 10:14  (MSK)
>а где статические трансляции...?

мне нат не нужен...
мне нужен реальный доступ через пиксу на реальные адреса внутрь сети...
или про что речь ?
если я не прав, то что надо сделать?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Cisco PIX 515E Firewall" 
Сообщение от ВОЛКА emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Сен-03, 10:43  (MSK)
вот и пишешь....

реальный адрес в реальный адрес....

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Cisco PIX 515E Firewall" 
Сообщение от eagla emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Сен-03, 11:20  (MSK)
>вот и пишешь....
>
>реальный адрес в реальный адрес....


static (inside,outside) x.x.89.2 x.89.2 ?
access-list OUTSIDE-IN permit ip host 2.2.2.1 host 2.2.2.1
access-group OUTSIDE-IN in interface outside

так ?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Cisco PIX 515E Firewall" 
Сообщение от ВОЛКА emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Сен-03, 12:14  (MSK)
да
  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "Cisco PIX 515E Firewall" 
Сообщение от eagla emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Сен-03, 12:17  (MSK)
>да

а откуда такой странный формат что остается из 4 цыфр три последние?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "Cisco PIX 515E Firewall" 
Сообщение от ВОЛКА emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Сен-03, 18:24  (MSK)
ты сам то понял, чего спросил?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Cisco PIX 515E Firewall" 
Сообщение от IFoxI Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 08-Сен-03, 20:10  (MSK)
Вообще, PIX енто не роутер ;)
попробуй команду: nat 0 (или что-то вроде того, ща точно не помню) в режиме конфига.
и еще если подсеть на inside не одна, то делай дефаулт и внутрь


  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Cisco PIX 515E Firewall" 
Сообщение от eagla emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Сен-03, 05:33  (MSK)
>Вообще, PIX енто не роутер ;)
>попробуй команду: nat 0 (или что-то вроде того, ща точно не помню)
>в режиме конфига.
>и еще если подсеть на inside не одна, то делай дефаулт и
>внутрь

а я слышал следующее:
при отсутствии НАТ ( что у меня )
трафик пропускается следующим образом:
- пришедшее в inside интерфейс пропускается в outside интерфейс;
- пришедшее в outside интерфейс пропускается в inside интерфейс только в том
  случае, если перед этим из inside в outside приходил трафик, который PIX
  расценивает как установление соединения му адресами в inside сети и outside
  сети.
Если нужно, чтобы какие-то соединения устанавливались из outside сети в
   inside, то пишешь access-list для outside интерфейса.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Cisco PIX 515E Firewall" 
Сообщение от IFoxI emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Сен-03, 10:15  (MSK)
>а я слышал следующее:
>при отсутствии НАТ ( что у меня )
>трафик пропускается следующим образом:
>- пришедшее в inside интерфейс пропускается в outside интерфейс;
>- пришедшее в outside интерфейс пропускается в inside интерфейс только в том
>
>  случае, если перед этим из inside в outside приходил трафик,
>который PIX
>  расценивает как установление соединения му адресами в inside сети и
>outside
>  сети.
Так все и есть, что с nat, что без него - это принцип прохождения трафика с высокосекьюрного интерфейса на низкий (nameif ethernet1 inside security100 -> nameif ethernet0 outside security0) и наоборот!
>Если нужно, чтобы какие-то соединения устанавливались из outside сети в
>   inside, то пишешь access-list для outside интерфейса.
Типа того ;) и не забудь трасляции static (inside, outside) ...

ты напиши: nat (inside) 0 x.x.89.0 0.0.0.127

  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "Cisco PIX 515E Firewall" 
Сообщение от Volume Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Сен-03, 12:30  (MSK)
не надо "слышать", надо документацию читать.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "Cisco PIX 515E Firewall" 
Сообщение от eagla emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Сен-03, 12:32  (MSK)
>не надо "слышать", надо документацию читать.

после общения с народом , я вижу две разных идеи реализации одного и тогоже, они читали разную документацию чтоли?;)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "Cisco PIX 515E Firewall" 
Сообщение от Volume Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Сен-03, 14:05  (MSK)
>>не надо "слышать", надо документацию читать.
>
>после общения с народом , я вижу две разных идеи реализации одного
>и тогоже, они читали разную документацию чтоли?;)

а вот это вы поймете только прочитав документацию :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "Cisco PIX 515E Firewall" 
Сообщение от eagla emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Сен-03, 15:21  (MSK)
>>>не надо "слышать", надо документацию читать.
>>
>>после общения с народом , я вижу две разных идеи реализации одного
>>и тогоже, они читали разную документацию чтоли?;)
>
>а вот это вы поймете только прочитав документацию :)


А у вас случайно на русском нету последней??? а то у меня итак море информации на английском;) не успеваю читать;)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "Cisco PIX 515E Firewall" 
Сообщение от A Clockwork Orange Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Сен-03, 21:45  (MSK)
>>>>не надо "слышать", надо документацию читать.
>>>
>>>после общения с народом , я вижу две разных идеи реализации одного
>>>и тогоже, они читали разную документацию чтоли?;)
>>
>>а вот это вы поймете только прочитав документацию :)
>
>
>А у вас случайно на русском нету последней??? а то у меня
>итак море информации на английском;) не успеваю читать;)

Подкинь

  Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "Cisco PIX 515E Firewall" 
Сообщение от Volume Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Сен-03, 21:51  (MSK)
www.cisco.com/go/pix
  Рекомендовать в FAQ | Cообщить модератору | Наверх

21. "Cisco PIX 515E Firewall" 
Сообщение от A Clockwork Orange Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Сен-03, 21:55  (MSK)
Volume

Тут прозвучало что PIX не маршрутизатор.
Он действительно лишен функции маршрутизатора, только фильтрует и натит?
Если у него три интерфейса, он не может в зависимости от пакета посылать его в разные интерфейсы?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

22. "Cisco PIX 515E Firewall" 
Сообщение от A Clockwork Orange Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Сен-03, 22:01  (MSK)
И откуда ты все знаешь, как искать...
  Рекомендовать в FAQ | Cообщить модератору | Наверх

23. "Cisco PIX 515E Firewall" 
Сообщение от Volume Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Сен-03, 22:23  (MSK)
>И откуда ты все знаешь, как искать...

да, может
с версии 6.3 он еще может ospf, route maps, dot1q

во первых на сайте есть закладки типа www.cisco.com/go/pix, www.cisco.com/go/3550
во вторых, цискин сайт постороен до определенной и довольно четкой концепции, понять ее - и найдется все
в третьих - я там каждый день просиживаю часов по 5 :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

24. "Cisco PIX 515E Firewall" 
Сообщение от Ldar emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 17-Сен-03, 12:36  (MSK)
>>И откуда ты все знаешь, как искать...
>
>да, может
>с версии 6.3 он еще может ospf, route maps, dot1q
>
>во первых на сайте есть закладки типа www.cisco.com/go/pix, www.cisco.com/go/3550
>во вторых, цискин сайт постороен до определенной и довольно четкой концепции, понять
>ее - и найдется все
>в третьих - я там каждый день просиживаю часов по 5 :)
>

Хых ... кем ты работаешь если не секрет, что 5 часов в инете в течении рабочего дня для тебя не проблема ? ;-) Чесно признаюсь завидно ... ;-))

PS: ничего плохого конечно я не имел ввиду ;-)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

25. "Cisco PIX 515E Firewall" 
Сообщение от Volume Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 17-Сен-03, 15:16  (MSK)
в смысле кем? инженером. А инет это рабочий инструмент.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

26. "Cisco PIX 515E Firewall" 
Сообщение от Ldar emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 17-Сен-03, 16:23  (MSK)
>в смысле кем? инженером. А инет это рабочий инструмент.

Хорошо что у вас есть столько времени на повышение уровня знаний да еще в рабочее время ...
Я давно просматриваю данный форум ... и наблюдаю за поведением участников. Есть постоянные есть приходящие уходящие ...
Вопрос вам, как специалисту, и человеку, часто посещающему cisco.com:
есть у меня недоразумение с версиями IOS ... точнее непонятно мне кое что ...
У меня есть кошка 827-4v:
sh ver

Cisco Internetwork Operating System Software
IOS (tm) C820 Software (C820-NSV6Y6-M), Version 12.2(2)T4,  RELEASE SOFTWARE (fc3)
TAC Support: http://www.cisco.com/tac
Copyright (c) 1986-2002 by cisco Systems, Inc.
Compiled Sun 10-Feb-02 01:10 by yiyan
Image text-base: 0x80013170, data-base: 0x808A634C

ROM: System Bootstrap, Version 12.2(1r)XE2, RELEASE SOFTWARE (fc1)

taurus uptime is 17 weeks, 3 days, 7 hours, 8 minutes
System returned to ROM by power-on
System image file is "flash:c820-nsv6y6-mz.122-2.T4.bin"

CISCO C827-4V (MPC855T) processor (revision 0xD01) with 23552K/1024K bytes of memory.
Processor board ID JAD063100PN (1268442241), with hardware revision 0000
CPU rev number 5
Bridging software.
4 POTS Ports
1 Ethernet/IEEE 802.3 interface(s)
1 ATM network interface(s)
128K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read/Write)

Configuration register is 0x2102

немагу найти описание 12.2(2)T4 ....
неподскажете где можно найти ?
нашел кучу релизов версии 12.2 ... но именно такой нет ;-(
буду признателен6 если укажете...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

27. "Cisco PIX 515E Firewall" 
Сообщение от ВОЛКА emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 18-Сен-03, 00:47  (MSK)
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122newft/122t/index.htm
  Рекомендовать в FAQ | Cообщить модератору | Наверх

28. "Cisco PIX 515E Firewall" 
Сообщение от Ldar emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 18-Сен-03, 06:18  (MSK)
>http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122newft/122t/index.htm

Уважаемый ВОЛКА !
Спасибо за ссылку.  ...
Вы дали мне ссылку на 12.2(2)T а я искал 12.2(2)Т4 если у них нет разницы, то чем объясняется различие реальной sh ver кошки, с описаным в документации ??

  Рекомендовать в FAQ | Cообщить модератору | Наверх

29. "Cisco PIX 515E Firewall" 
Сообщение от Ldar emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 18-Сен-03, 08:16  (MSK)
>>http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122newft/122t/index.htm
>
>Уважаемый ВОЛКА !
>Спасибо за ссылку.  ...
>Вы дали мне ссылку на 12.2(2)T а я искал 12.2(2)Т4 если у
>них нет разницы, то чем объясняется различие реальной sh ver кошки,
>с описаным в документации ??

PS: Не там дело обсуждается ...
Открываю новую тему ... если кто то сможет помочь по данному впросу мне, буду очень признателен.

http://www.opennet.me/openforum/vsluhforumID6/3864.html

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру