форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"PIX 515e, PAT, DMZ"
Сообщение от frozer (ok) on 06-Июн-05, 11:00  (MSK)
Добрый день! Как побороть PIX на предмет трансляции портов: конфигурация такая - outside - 192.168.127.253 255.255.255.252 inside - 192.168.168.15.251 255.255.255.0 dmz - 192.168.127.249 255.255.255.252 В dmz - 1(один) почтовый сервер 192.168.127.250 255.255.255.252 В outside - 1(один) клиент 192.168.127.254 255.255.255.252 Как сделать: - что-бы из внутренней сети (inside) при обращении на адрес 192.168.15.251 порт 22,25,110 соединение перебрасывалось на 192.168.127.250 на соответствующий порт - что-бы из внешней сети (outside) при обращении на адрес 192.168.127.253 порт 22,25,110 соединение перебрасывалось на 192.168.127.250 на соответствующий порт - сервер из dmz мог обращаться к dns серверу во внутренней сети. Документация, до которой смог дотянуться описывает варианты PAT когда количество адресов на интерфейсах больше 2 (т.е. маска не /30). На FreeBSD эта же конфигурация делается в 2 строчки /etc/natd.conf, как реализовать с PIX пока не представляю... interface ethernet0 auto shutdown interface ethernet1 auto interface ethernet2 auto nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security4 ip address outside 192.168.127.253 255.255.255.252 ip address inside 192.168.15.251 255.255.255.0 ip address dmz 192.168.127.249 255.255.255.252 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (dmz,inside) tcp interface ssh 192.168.127.250 ssh netmask 255.255.255.255 0 0 access-group acl_in in interface inside access-group acl_dmz in interface dmz На попытку достучаться на 22 порт - пишет Connection refused.
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "PIX 515e, PAT, DMZ"
Сообщение от frozer (ok) on 08-Июн-05, 10:05  (MSK)
Отвечаю сам себе - пришлось таки разнести интерфейсы на _разные_ подсети, т.е. разделить не маской, а номером подсети. Снаружи ssh доступ на сервер в DMZ есть. Теперь вопрос по доступу от low security интерфейса на hi security интерфейс: делаю static: access-list acl_in permit tcp any any access-list acl_in permit icmp any any access-list acl_in permit udp any any access-list acl_dmz permit tcp any any access-list acl_dmz permit icmp any any access-list acl_dmz permit udp any any global (inside) 2 192.168.15.249-192.168.15.250 global (inside) 3 interface global (dmz) 1 interface nat (inside) 1 192.168.15.20 255.255.255.255 0 0 nat (dmz) 1 192.168.7.66 255.255.255.255 0 0 static (dmz,inside) tcp 192.168.15.250 ssh 192.168.7.66 ssh netmask 255.255.255.255 0 0 static (inside,dmz) udp 192.168.7.67 domain 192.168.9.1 domain netmask 255.255.255.255 0 0 static (inside,dmz) tcp 192.168.7.67 domain 192.168.9.1 domain netmask 255.255.255.255 0 0 static (inside,dmz) udp 192.168.7.67 ntp 192.168.0.15 ntp netmask 255.255.255.255 0 0 static (inside,dmz) tcp 192.168.7.67 ssh 192.168.15.20 ssh netmask 255.255.255.255 0 0 access-group acl_in in interface inside access-group acl_dmz in interface dmz потом с узла 192.168.7.66 делаю nslookup - 192.168.7.67... и тишина, и отваливается с сообщением "No response received". лог PIX'а: 609001: Built local-host inside:192.168.9.1 305011: Built static UDP translation from inside:192.168.9.1/53 to dmz:192.168.7.67/53 302015: Built inbound UDP connection 15 for dmz:192.168.7.66/35019 (192.168.7.66/35019) to inside:192.168.9.1/53 (192.168.7.67/53) Может какие-то варианты есть?
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "PIX 515e, PAT, DMZ"
	Сообщение от frozer (ok) on 09-Июн-05, 07:35  (MSK)
	Вести с фронтов: Сделал согласно мануала (http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a0080094aad.shtml) access-list 100 permit tcp 192.168.15.0 255.255.255.0 any eq ssh access-list 100 permit udp 192.168.0.0 255.255.240.0 any access-list 100 permit tcp 192.168.0.0 255.255.240.0 any access-list 101 permit tcp any host 192.168.7.67 eq ssh access-list 101 permit tcp any host 192.168.7.67 eq smtp access-list 101 permit udp any host 192.168.7.67 eq domain access-list 101 permit tcp any host 192.168.7.67 eq domain ... ip address outside 192.168.127.249 255.255.255.224 ip address inside 192.168.15.251 255.255.255.0 ip address dmz 192.168.7.65 255.255.255.224 ... global (dmz) 1 interface nat (inside) 1 192.168.15.0 255.255.255.0 0 0 static (dmz,inside) tcp 192.168.15.250 ssh 192.168.7.66 ssh netmask 255.255.255.255 0 0 static (inside,dmz) tcp 192.168.7.67 ssh 192.168.15.20 ssh netmask 255.255.255.255 0 0 static (inside,dmz) tcp 192.168.7.67 domain 192.168.9.1 domain netmask 255.255.255.255 0 0 static (inside,dmz) udp 192.168.7.67 domain 192.168.9.1 domain netmask 255.255.255.255 0 0 access-group 100 in interface inside access-group 101 in interface dmz ... Теперь выдает интересную ошибку - 110001: No route to 192.168.7.67 from 192.168.7.66
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.