The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"NAT из сети в сеть на PIX"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"NAT из сети в сеть на PIX" 
Сообщение от Коматозник emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(ok) on 18-Фев-05, 12:52  (MSK)
Провайдер пробросил хвост (10.36.50.1) из "телесети" с адресои сети 10.36.50.0, до того, как поставить пикс, эта же сеть была реализована внутри предприятия (серверы и хосты имеют адреса из этой же сети). Теперь при реализации пикса дилема! Т.к. пикс не позволяет устанавливать на своих интерфесах IP из одной сети, как выйти из положения?
В данный момент у меня:
ip address outside 10.36.50.3 255.255.255.0
ip address inside 172.16.50.1 255.255.255.0
Естественно, что ничего не работает! Как мне выпустить всю внутреннюю сеть 10.36.50.0/24 наружу, как сделать нат всей этой сети через 172.16.50.1?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "NAT из сети в сеть на PIX" 
Сообщение от q Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 24-Фев-05, 15:09  (MSK)
Если я правильно понял, то 10.36.50.1/24 - это адрес внешний, от провайдера.

Вы были вынуждены установить на внутреннем интерефейсе пикса адрес из сети 172.16.50.0/24

Возможно на пиксе система команд будет несколько иной. Надо уточнить синтаксис...

Если же расмотреть, как пример, реализацию на обычном роутере,  то можно транслировать все адреса из сети 172 в адрес 10.

Настраивается просто:

1) создаем пул из одного адреса:

Router(config)# ip nat pool mypool 10.36.50.1 10.36.50.1 255.255.255.0

2) создаем простой список доступа:

Router(config)#  access-list 1 permit 172.16.50.0 0.0.0.255

3) настраиваем далее:

Router(config)# ip nat inside source list 1 pool mypool

4) указываем, какой интерфейс будет внешним, а какой внутренним:

Router(config-if)# ip nat inside (интерфейс с адресом 172.16.50.1/24)

Router(config-if)# ip nat outside (интерфейс с адресом 10.36.50.1/24)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "NAT из сети в сеть на PIX" 
Сообщение от ruff emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(ok) on 24-Фев-05, 15:18  (MSK)
>Если я правильно понял, то 10.36.50.1/24 - это адрес внешний, от провайдера.
>
>
>Вы были вынуждены установить на внутреннем интерефейсе пикса адрес из сети 172.16.50.0/24
>
>
>Возможно на пиксе система команд будет несколько иной. Надо уточнить синтаксис...
>
>Если же расмотреть, как пример, реализацию на обычном роутере,  то можно
>транслировать все адреса из сети 172 в адрес 10.
>
>Настраивается просто:
>
>1) создаем пул из одного адреса:
>
>Router(config)# ip nat pool mypool 10.36.50.1 10.36.50.1 255.255.255.0
>
>2) создаем простой список доступа:
>
>Router(config)#  access-list 1 permit 172.16.50.0 0.0.0.255
>
>3) настраиваем далее:
>
>Router(config)# ip nat inside source list 1 pool mypool
>
>4) указываем, какой интерфейс будет внешним, а какой внутренним:
>
>Router(config-if)# ip nat inside (интерфейс с адресом 172.16.50.1/24)
>
>Router(config-if)# ip nat outside (интерфейс с адресом 10.36.50.1/24)


А еще проще
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
делает PAT всего инсайда айпишником аутсайда

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "NAT из сети в сеть на PIX" 
Сообщение от Коматозник emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(ok) on 24-Фев-05, 15:28  (MSK)
>А еще проще
>nat (inside) 1 0.0.0.0 0.0.0.0 0 0
>делает PAT всего инсайда айпишником аутсайда

Господа! Я еще раз повторяю! Наверно лучше схематично:

Было:
10.36.50.1(провайдер) - 10.36.50.0/24(внутренняя сеть)
Стало:
10.36.50.1(провайдер) - 10.36.50.3|PIX|172.16.50.1 - 10.36.50.0/24(внутренняя сеть)

На пиксе я от фоноря поставил 172.16.50.1 сам, потому как пикс НЕ ПОЗВОЛЯЕТ ставить IP на обоих интерфейсах из одной сети.
Провайдер IP не поменяет, в сети тоже IP меняться не будут, слишком гимморно 200 хостов менять, не все по DHCP.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "NAT из сети в сеть на PIX" 
Сообщение от ruff emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(ok) on 24-Фев-05, 15:31  (MSK)
>Господа! Я еще раз повторяю! Наверно лучше схематично:
>
>Было:
>10.36.50.1(провайдер) - 10.36.50.0/24(внутренняя сеть)
>Стало:
>10.36.50.1(провайдер) - 10.36.50.3|PIX|172.16.50.1 - 10.36.50.0/24(внутренняя сеть)
>
>На пиксе я от фоноря поставил 172.16.50.1 сам, потому как пикс НЕ
>ПОЗВОЛЯЕТ ставить IP на обоих интерфейсах из одной сети.
>Провайдер IP не поменяет, в сети тоже IP меняться не будут, слишком
>гимморно 200 хостов менять, не все по DHCP.

о...
тогда может сделать оутсайд 50.2/30 а инс 50.129/25 ? или хосты в нижнем сегменте тож имеются?

а, их 200 %) тогда никак... пикс здесь бесполезная железяка %)
хотя если 515 и выше - то они помойму позволяют секондари ип вешать на морду, можно тогда нарезать на инсайде 5/30 + 9/29 + 17/28 + ... но это будет затычка а не девайс тогда %)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "NAT из сети в сеть на PIX" 
Сообщение от Коматозник emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(ok) on 24-Фев-05, 15:34  (MSK)

>о...
>тогда может сделать оутсайд 50.2/30 а инс 50.129/25 ? или хосты в
>нижнем сегменте тож имеются?

Я же говорю 200 хостов в сети! А с маской /25 сколько будет?
(какую маску не ставь, а 126 хостов как максимум)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "NAT из сети в сеть на PIX" 
Сообщение от Rodion emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(ok) on 24-Фев-05, 17:17  (MSK)
>
>>о...
>>тогда может сделать оутсайд 50.2/30 а инс 50.129/25 ? или хосты в
>>нижнем сегменте тож имеются?
>
>Я же говорю 200 хостов в сети! А с маской /25 сколько
>будет?
>(какую маску не ставь, а 126 хостов как максимум)

Luchshiy variant - izmenit' adresa vnutrenney seti - eto logichno i "kak v shkole uchat" Chto meshaet?
Variant huge - esli est' router - podnat' na nem NAT v "levuyu" set' 192.168.*.* a na Pixe NAT(PAT) snova - v adresa provaydera. No eto - "dvoynoy razvorot" i tak nikto ne delaet :-))) Hotya v vashem sluchae...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "NAT из сети в сеть на PIX" 
Сообщение от ruff emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(ok) on 24-Фев-05, 17:43  (MSK)
>Luchshiy variant - izmenit' adresa vnutrenney seti - eto logichno i "kak
>v shkole uchat" Chto meshaet?
Это сам собой, правильный вариант %)

>Variant huge - esli est' router - podnat' na nem NAT v
>"levuyu" set' 192.168.*.* a na Pixe NAT(PAT) snova - v adresa
>provaydera. No eto - "dvoynoy razvorot" i tak nikto ne delaet

ну тогда уже пикс нафик, поднять линух (или фрю) и на нем навесть адреса, поднять фаирвол и тд %)

>:-))) Hotya v vashem sluchae...
Случай неординарный, типа "хочу с класной железкой, но нехочу по нормальному делать" %)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "NAT из сети в сеть на PIX" 
Сообщение от Rodion emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(ok) on 24-Фев-05, 18:18  (MSK)
>>Luchshiy variant - izmenit' adresa vnutrenney seti - eto logichno i "kak
>>v shkole uchat" Chto meshaet?
>Это сам собой, правильный вариант %)
>
>>Variant huge - esli est' router - podnat' na nem NAT v
>>"levuyu" set' 192.168.*.* a na Pixe NAT(PAT) snova - v adresa
>>provaydera. No eto - "dvoynoy razvorot" i tak nikto ne delaet
>
>ну тогда уже пикс нафик, поднять линух (или фрю) и на нем
>навесть адреса, поднять фаирвол и тд %)
>
>>:-))) Hotya v vashem sluchae...
>Случай неординарный, типа "хочу с класной железкой, но нехочу по нормальному делать"

Da, soglasen s "Linux" - prosto sdes' gde ya rabotayu deneg nikto ne schitaet i vse delaetsa na Cisco. Poetomu moi soveti mogut bit' neskolko odnoboki.
>%)


  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "NAT из сети в сеть на PIX" 
Сообщение от Коматозник emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(ok) on 24-Фев-05, 18:28  (MSK)

>Da, soglasen s "Linux" - prosto sdes' gde ya rabotayu deneg nikto
>ne schitaet i vse delaetsa na Cisco. Poetomu moi soveti mogut
>bit' neskolko odnoboki.
>>%)

Господа! Пока мое руководство думает! Прошу подсказать сдедующее!
Совсем на другом пиксе, который в действии, имеется на outside 16 белых адресов, выданных провайдером. Как можно делать пинг не только с самого пикса, но и из нутри сетки, все усложняется тем, что организовать доступ (по telnet, например) из нутри сетки.
О как!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "NAT из сети в сеть на PIX" 
Сообщение от ruff emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 24-Фев-05, 18:48  (MSK)
>
>Господа! Пока мое руководство думает! Прошу подсказать сдедующее!
>Совсем на другом пиксе, который в действии, имеется на outside 16 белых
>адресов, выданных провайдером. Как можно делать пинг не только с самого
>пикса, но и из нутри сетки, все усложняется тем, что организовать
>доступ (по telnet, например) из нутри сетки.
>О как!

не поял... причем тут пул адресов, пинги и телнет?
чтоб ходили пинги изнутри надоть открыть icmp протокол (ибо он закрыт по умолчанию, в направлении аутсайд->инсайд, соответственно icmp echo reply не проходят назад) а телнет к чему? к пиксу?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "NAT из сети в сеть на PIX" 
Сообщение от Rodion emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(ok) on 24-Фев-05, 18:58  (MSK)
>>
>>Господа! Пока мое руководство думает! Прошу подсказать сдедующее!
>>Совсем на другом пиксе, который в действии, имеется на outside 16 белых
>>адресов, выданных провайдером. Как можно делать пинг не только с самого
>>пикса, но и из нутри сетки, все усложняется тем, что организовать
>>доступ (по telnet, например) из нутри сетки.
>>О как!
>
>не поял... причем тут пул адресов, пинги и телнет?
>чтоб ходили пинги изнутри надоть открыть icmp протокол (ибо он закрыт по умолчанию, в направлении аутсайд->инсайд, соответственно icmp echo reply не проходят назад) а телнет к чему? к пиксу?

Vopros rezonniy, po-moemu voproshayushemu len' chitat' doki s Cisco-sayta :-)
Krome togo - kakoy soft tam zalit? Esli 6.3.4 - tam po defoltu ping otkrit i vse luchshe delat' ASL a ne Conduit :-) s telnetom - narugu - voobshe nikakih problem - prosto propisivaem
telnet a.b.c.d m.a.s.k  inside


  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "NAT из сети в сеть на PIX" 
Сообщение от Коматозник emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(ok) on 25-Фев-05, 10:28  (MSK)
>
>Vopros rezonniy, po-moemu voproshayushemu len' chitat' doki s Cisco-sayta :-)
>Krome togo - kakoy soft tam zalit? Esli 6.3.4 - tam po
>defoltu ping otkrit i vse luchshe delat' ASL a ne Conduit
>:-) s telnetom - narugu - voobshe nikakih problem - prosto
>propisivaem
>telnet a.b.c.d m.a.s.k  inside

Пожалуйста, не надо так радикально осуждать (лень, не лень)
Я прекрасно знаю, что надо открывать icmp (стоит версия 6.3(1))
И я прекрасно знаю как предоставить доступ не только к inside, но тихо не спеша могу сделать ssh A.B.C.D M.A.S.K outside, сделав паблик кей и сохранив его указав из какой сети или какого IP будет доступ(кстати, таким образом появляется потенциальная брешь в пиксе). Дело совсем в другом!!! Прошу прощения, сумбурно написал! Сейчас постараюсь расстолковать!
Как я говорил выше, этот пикс никакого отношения не имеет к тому, вопрос на премет которого был выше. Можно сказать другая тема, просто не хотел ее создавать.
Так вот, на этом пиксе на outside есть IP - A.B.C.D, выданный провайдером. Этот IP успешно пингуется с самого пикса, он же пингуется и из самой сети, тут нет никаких проблем.
К этому IP провайдер пришил пул из 16-и адресов 1.2.3.1-15 Так вот, речь идет именно о них! Могу ли я не беспокоя провайдера пинговать их и предоставить доступ к этим адресам изнутри?
"и предоставить доступ к этим адресам изнутри" - слабо себе представляю, поступило расспоряжение сверху. Если я спрошу что имелось в виду, руководство может неординарно отреагировать на это, типа нашелся умник. Ну Вы понимаете!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "NAT из сети в сеть на PIX" 
Сообщение от ruff emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 25-Фев-05, 11:06  (MSK)
>Пожалуйста, не надо так радикально осуждать (лень, не лень)
>Я прекрасно знаю, что надо открывать icmp (стоит версия 6.3(1))
>И я прекрасно знаю как предоставить доступ не только к inside, но
>тихо не спеша могу сделать ssh A.B.C.D M.A.S.K outside, сделав паблик
>кей и сохранив его указав из какой сети или какого IP
>будет доступ(кстати, таким образом появляется потенциальная брешь в пиксе). Дело совсем
>в другом!!! Прошу прощения, сумбурно написал! Сейчас постараюсь расстолковать!
>Как я говорил выше, этот пикс никакого отношения не имеет к тому,
>вопрос на премет которого был выше. Можно сказать другая тема, просто
>не хотел ее создавать.
>Так вот, на этом пиксе на outside есть IP - A.B.C.D, выданный
>провайдером. Этот IP успешно пингуется с самого пикса, он же пингуется
>и из самой сети, тут нет никаких проблем.
>К этому IP провайдер пришил пул из 16-и адресов 1.2.3.1-15 Так вот,
>речь идет именно о них! Могу ли я не беспокоя провайдера
>пинговать их и предоставить доступ к этим адресам изнутри?
>"и предоставить доступ к этим адресам изнутри" - слабо себе представляю, поступило
>расспоряжение сверху. Если я спрошу что имелось в виду, руководство может
>неординарно отреагировать на это, типа нашелся умник. Ну Вы понимаете!

Пул адресов подразумевает обычно НАТ. Конечно можно статически привязать каждый из айпишников к какому нить серверу внутри сети, командой static.
тогда эти адреса будут пингаться (а точнее внутренние сервера, замаскированые этими адресами)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "NAT из сети в сеть на PIX" 
Сообщение от Коматозник emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(ok) on 25-Фев-05, 11:20  (MSK)
>Пул адресов подразумевает обычно НАТ. Конечно можно статически привязать каждый из айпишников
>к какому нить серверу внутри сети, командой static.
>тогда эти адреса будут пингаться (а точнее внутренние сервера, замаскированые этими адресами)
>
Да, у меня выставленны некоторые сервера натом через статик. Что инетресно, из локальной сети IP из провайдерского пула пингуется, а на самом пиксе нет. Как поколдовать чтобы на самом пиксе пинговался провайдерский пул? Или это не возможно?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "NAT из сети в сеть на PIX" 
Сообщение от ruff emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 25-Фев-05, 11:25  (MSK)
>Да, у меня выставленны некоторые сервера натом через статик. Что инетресно, из
>локальной сети IP из провайдерского пула пингуется, а на самом пиксе
>нет. Как поколдовать чтобы на самом пиксе пинговался провайдерский пул? Или
>это не возможно?

%) не, это невозможно, пикс то знает только что они в пуле, а при их пинговке пакеты шлет скорей всего на дефолт (провайдеру) а провайдер их маршрутизирует на пикс... Такой вот луп %) да и зачем??? если ты знаешь что эти адреса фейк. адрес привязан к серверу, посему если хош узнать жив ли сервер - пингуй его по внутреннему ИП

  Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "NAT из сети в сеть на PIX" 
Сообщение от Коматозник emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(ok) on 25-Фев-05, 12:26  (MSK)
>
>%) не, это невозможно, пикс то знает только что они в пуле,
>а при их пинговке пакеты шлет скорей всего на дефолт (провайдеру)
>а провайдер их маршрутизирует на пикс... Такой вот луп %) да
>и зачем??? если ты знаешь что эти адреса фейк. адрес привязан
>к серверу, посему если хош узнать жив ли сервер - пингуй
>его по внутреннему ИП

Немного зарапортовался! IP на outside не пингуется из локальной сети!
С самого пикса пинг проходит! Что не так?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "NAT из сети в сеть на PIX" 
Сообщение от ruff emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 25-Фев-05, 13:24  (MSK)
>>
>>%) не, это невозможно, пикс то знает только что они в пуле,
>>а при их пинговке пакеты шлет скорей всего на дефолт (провайдеру)
>>а провайдер их маршрутизирует на пикс... Такой вот луп %) да
>>и зачем??? если ты знаешь что эти адреса фейк. адрес привязан
>>к серверу, посему если хош узнать жив ли сервер - пингуй
>>его по внутреннему ИП
>
>Немного зарапортовался! IP на outside не пингуется из локальной сети!
>С самого пикса пинг проходит! Что не так?

фу жара... ну еще раз, в пуле у тебя айпи которые может использовать пикс для НАТ. Но это не адрес интерфейса! никакого интерфейса ни в какой сети. Если пакет проходя через пикс попадает под правило НАТа то он пройдет дальше, на того который статиком привязан к этому ИП, и это который оветит на него. ПИКС не пересылает пакеты назад в интерфейс (дето там большими буквами написано в мануале) посему пакеты пришедшие с инсайда никогда опять не попадут в инсайд (если только ктото дальше их не развернет)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "NAT из сети в сеть на PIX" 
Сообщение от Коматозник emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(ok) on 25-Фев-05, 13:30  (MSK)

>фу жара... ну еще раз, в пуле у тебя айпи которые может
>использовать пикс для НАТ. Но это не адрес интерфейса! никакого интерфейса
>ни в какой сети. Если пакет проходя через пикс попадает под
>правило НАТа то он пройдет дальше, на того который статиком привязан
>к этому ИП, и это который оветит на него. ПИКС не
>пересылает пакеты назад в интерфейс (дето там большими буквами написано в
>мануале) посему пакеты пришедшие с инсайда никогда опять не попадут в
>инсайд (если только ктото дальше их не развернет)

Не сердись, плиз, я толковый ученик! =))
Речь идет не о пуле адресов, а именно о IP, который висит на outside!
ip address outside A.B.C.D 255.255.255.252
ip address inside 192.168.50.1 255.255.255.0
ip address Teleset 192.168.80.6 255.255.255.252
Как мне из локальной сети сделать пинг на A.B.C.D?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "NAT из сети в сеть на PIX" 
Сообщение от ruff emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 25-Фев-05, 14:05  (MSK)
>Не сердись, плиз, я толковый ученик! =))
>Речь идет не о пуле адресов, а именно о IP, который висит
>на outside!
>ip address outside A.B.C.D 255.255.255.252
>ip address inside 192.168.50.1 255.255.255.0
>ip address Teleset 192.168.80.6 255.255.255.252
>Как мне из локальной сети сделать пинг на A.B.C.D?

а, тю, ну это кажись попадает под правило:

>>ПИКС не
>>пересылает пакеты назад в интерфейс (дето там большими буквами написано в
>>мануале) посему пакеты пришедшие с инсайда никогда опять не попадут в
>>инсайд (если только ктото дальше их не развернет)

да и зачем тебе пинговать его морду наружную? %) пингуй пира (провайдера на втором конце провода) это тебе больше скажет %) т.е. пинг на внутр. морду говорит о том что пикс жив, на пира - что кабель жив, дальше пошла стихия прова

  Рекомендовать в FAQ | Cообщить модератору | Наверх

21. "NAT из сети в сеть на PIX" 
Сообщение от Коматозник emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(ok) on 25-Фев-05, 14:13  (MSK)
> а, тю, ну это кажись попадает под правило:
>
>>>ПИКС не
>>>пересылает пакеты назад в интерфейс (дето там большими буквами написано в
>>>мануале) посему пакеты пришедшие с инсайда никогда опять не попадут в
>>>инсайд (если только ктото дальше их не развернет)
>
>да и зачем тебе пинговать его морду наружную? %) пингуй пира (провайдера
>на втором конце провода) это тебе больше скажет %) т.е. пинг
>на внутр. морду говорит о том что пикс жив, на пира
>- что кабель жив, дальше пошла стихия прова
Да я и так уверен что все работает, просто наш другой отдел замутил мудренное, вроде как Тиволи Нетвью. Дык условия следующие (дословно) - нужно иметь возможность обращаться из нашей сети 129.168.50.0 к внешним интерефейсам PIX по любым портам, для начала достаточно чтоб откликались по СНМП.
Плиз, выйди на меня! UIN 99130031

  Рекомендовать в FAQ | Cообщить модератору | Наверх

22. "NAT из сети в сеть на PIX" 
Сообщение от Коматозник emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(ok) on 25-Фев-05, 14:16  (MSK)

>да и зачем тебе пинговать его морду наружную? %) пингуй пира (провайдера
>на втором конце провода) это тебе больше скажет %) т.е. пинг
>на внутр. морду говорит о том что пикс жив, на пира
>- что кабель жив, дальше пошла стихия прова

Плиз, ткни меня носом в доку, в которой говорится, что из внутренней сети не возможно пинговать outside, а снаружи inside!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

23. "NAT из сети в сеть на PIX" 
Сообщение от ruff emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 25-Фев-05, 14:34  (MSK)
>
>>да и зачем тебе пинговать его морду наружную? %) пингуй пира (провайдера
>>на втором конце провода) это тебе больше скажет %) т.е. пинг
>>на внутр. морду говорит о том что пикс жив, на пира
>>- что кабель жив, дальше пошла стихия прова
>
>Плиз, ткни меня носом в доку, в которой говорится, что из внутренней
>сети не возможно пинговать outside, а снаружи inside!

в аське уже ответил, но для потомков оставлю %)
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a0080094e8a.shtml
---
You will not be able to ping interfaces on the "far side" of the PIX in any version. In our network diagram, you will be able to ping 10.1.1.1 from 10.1.1.5 or 200.1.1.1 from the outside, but you will not be able to ping 200.1.1.1 from 10.1.1.5, nor will you be able to ping 10.1.1.1, from the outside.
---

  Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "NAT из сети в сеть на PIX" 
Сообщение от Rodion emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(ok) on 25-Фев-05, 12:39  (MSK)
>>
>>Vopros rezonniy, po-moemu voproshayushemu len' chitat' doki s Cisco-sayta :-)
>>Krome togo - kakoy soft tam zalit? Esli 6.3.4 - tam po
>>defoltu ping otkrit i vse luchshe delat' ASL a ne Conduit
>>:-) s telnetom - narugu - voobshe nikakih problem - prosto
>>propisivaem
>>telnet a.b.c.d m.a.s.k  inside
>
>Пожалуйста, не надо так радикально осуждать (лень, не лень)
>Я прекрасно знаю, что надо открывать icmp (стоит версия 6.3(1))
>И я прекрасно знаю как предоставить доступ не только к inside, но
>тихо не спеша могу сделать ssh A.B.C.D M.A.S.K outside, сделав паблик
>кей и сохранив его указав из какой сети или какого IP
>будет доступ(кстати, таким образом появляется потенциальная брешь в пиксе). Дело совсем
>в другом!!! Прошу прощения, сумбурно написал! Сейчас постараюсь расстолковать!
>Как я говорил выше, этот пикс никакого отношения не имеет к тому,
>вопрос на премет которого был выше. Можно сказать другая тема, просто
>не хотел ее создавать.
>Так вот, на этом пиксе на outside есть IP - A.B.C.D, выданный
>провайдером. Этот IP успешно пингуется с самого пикса, он же пингуется
>и из самой сети, тут нет никаких проблем.
>К этому IP провайдер пришил пул из 16-и адресов 1.2.3.1-15 Так вот,
>речь идет именно о них! Могу ли я не беспокоя провайдера
>пинговать их и предоставить доступ к этим адресам изнутри?
>"и предоставить доступ к этим адресам изнутри" - слабо себе представляю, поступило
>расспоряжение сверху. Если я спрошу что имелось в виду, руководство может
>неординарно отреагировать на это, типа нашелся умник. Ну Вы понимаете!


Horosho - radikalno osugdat' ne budem :-) togda rekomenduyu poyti na Cisco i nayti document "handling ICMP pings with the PIX Firewall"
A esli govorit' o bezopasnosti - to sama ideya otkritiya pingov - eto dira :-) - soglasen. Poetomu nado ubeditsa chto vse rabotaet i bistrenko zakrit'.

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру