Имеется PIX 515 Ver6.1(1) с тремя интерфейсами.
Перед пиксой стоит свой гейт на нем конец туннеля. В ДМЗ стоит веб и активный-ФТП серверы.
Внутри стоит почтовик.
Пусть вас не смущает не правильное расположение серверов, это я упростил реальную схему
что бы точнее сформулировать вопрос.
Необходимо сделать так, чтобы из инета (any) народ ходил на наш веб (192.168.2.20).
Из удаленной сети (192.168.3.0) через туннель ходили в ДМЗ (192.168.2.0) на наш веб и
внутренний почтовик (192.168.1.10).
Из внутренней сети(192.168.1.0) ходили в ДМЗ на активный-ФТП (192.168.1.200).
Согласно этой схеме получается, что будут присутствовать соединения "ПРОТИВ ШЕРСТИ".
Проблемы:
За выходные дни соединение из вне в дмз, из туннеля во внутрь и из ДМЗ во внутреннюю
сети теряется.
1. из вне народ начал видеть веб только после того, как поставили периодический пинг
с гейта на веб.
2. из туннеля народ начал видеть почтовик после пинга с почтовика на другой конец
туннельного шлюза
3. изнутри народ начал видеть активный-ФТП после пинга с ФТП во внутрь.
Обычно при старте пинга, после потери соединения, первые два-три пакета теряются, а потом
все идет.
Читал что для соединений против шерсти по старинке требуется conduit, а по новому,
соответствующий access-list. access-list'ы вроде как правильные, но проблемы всеравно
есть.
Может тут что-то с ARP связано? Была мысль увеличить arp timeout 14400.
Но это же,ИМХО, не правильно? Я не пробывал.
Вот ниже кое-что из конфига пиксы (текущий конфиг записанный во флеш):
version 6.1(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
interface ethernet0 auto
interface ethernet1 100basetx
interface ethernet2 auto
ip address inside 192.168.1.1
ip address dmz 192.168.2.1
ip address outside 192.168.3.1
ip verify reverse-path interface outside
ip audit info action alarm
ip audit attack action alarm
access-list inside_in permit icmp any any
access-list inside_in permit tcp 192.168.1.0 192.168.2.20 eq 80
access-list inside_in permit tcp 192.168.1.0 192.168.2.200 eq 21
access-list dmz_in permit icmp any any
access-list dmz_in permit tcp 192.168.2.0 any
access-list outside_in permit icmp any any
access-list outside_in permit tcp any 192.168.2.20 eq 80
access-list outside_in permit tcp 192.168.3.0 192.168.1.10 eq 25
access-list outside_in permit tcp 192.168.3.0 192.168.2.200 eq 21
access-group inside_in in interface inside
access-group dmz_in in interface dmz
access-group outside_in in interface outside
arp timeout 14400
global (outside) 1 interface
global (dmz) 1 interface
established tcp 0 0
route outside 0 0 192.168.3.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00