форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"ISA за PIX 515"
Сообщение от Ilya (??) on 12-Авг-05, 15:02  (MSK)
Подскажите как можно настроить пикс чтоб он пропускал из вне vpn соединения к исе Я вкл fix up добавл access-list но не помогает Пикс ос 7,02
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "ISA за PIX 515"
Сообщение от Eduard_k (??) on 12-Авг-05, 16:22  (MSK)
>Подскажите как можно настроить пикс чтоб он пропускал из вне vpn соединения >к исе >Я вкл fix up >добавл access-list но не помогает >Пикс ос 7,02 конфиг?
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "ISA за PIX 515"
	Сообщение от Ilya (??) on 12-Авг-05, 16:45  (MSK)
	>>Подскажите как можно настроить пикс чтоб он пропускал из вне vpn соединения >>к исе >>Я вкл fix up >>добавл access-list но не помогает >>Пикс ос 7,02 > > >конфиг? PIX Version 7.0(2) names ! interface Ethernet0 nameif outside security-level 0 ip address 213.206.32.116 255.255.255.248 ! interface Ethernet1 nameif inside security-level 100 ip address 223.255.250.9 255.255.255.0 ! interface Ethernet2 shutdown nameif intf2 security-level 10 no ip address ! interface Ethernet3 shutdown nameif intf3 security-level 15 ! interface Ethernet4 shutdown nameif intf4 security-level 20 no ip address ! interface Ethernet5 shutdown nameif intf5 security-level 25 no ip address ! enable password OxaFZBgC0mboUG4s encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall domain-name ccbu.uz ftp mode passive same-security-traffic permit inter-interface access-list 116 extended permit tcp any any access-list 116 extended permit ip any any access-list 116 extended permit icmp any any access-list 116 extended permit udp any any access-list 117 extended permit ip any any access-list 118 extended permit tcp any any eq pptp access-list 118 extended permit gre any any access-list acl-out extended permit gre any any access-list acl-out extended permit tcp any any eq pptp pager lines 24 logging console debugging mtu outside 1500 mtu inside 1500 mtu intf2 1500 mtu intf3 1500 mtu intf4 1500 mtu intf5 1500 no failover monitor-interface outside monitor-interface inside monitor-interface intf2 monitor-interface intf3 monitor-interface intf4 monitor-interface intf5 asdm history enable arp timeout 14400 nat-control nat (inside) 1 223.255.250.0 255.255.255.0 nat (inside) 1 223.255.250.0 223.255.250.255 nat (inside) 2 0.0.0.0 0.0.0.0 static (inside,outside) 213.206.32.116 223.255.250.249 netmask 255.255.255.255 access-group acl-out in interface outside access-group 116 out interface outside access-group 116 in interface inside route outside 0.0.0.0 0.0.0.0 213.206.32.117 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius http server enable http 223.255.250.243 255.255.255.255 inside no snmp-server location no snmp-server contact snmp-server community public snmp-server enable traps snmp no sysopt connection permit-ipsec telnet timeout 5 ssh version 1 console timeout 0 ! class-map Forpptp match port tcp eq pptp class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default   inspect dns maximum-length 512   inspect ftp   inspect h323 h225   inspect h323 ras   inspect http   inspect netbios   inspect rsh   inspect rtsp   inspect skinny   inspect esmtp   inspect sqlnet   inspect sunrpc   inspect tftp   inspect sip   inspect xdmcp   inspect pptp ! service-policy global_policy global Cryptochecksum:e76d123e531f3a4eda3d37a5462d4751 : end pixfirewall(config)#
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "ISA за PIX 515"
	Сообщение от Eduard_k (??) on 15-Авг-05, 13:58  (MSK)
	>access-group 116 out interface outside >access-group 116 in interface inside а если вот эти две строчки убрать? или в access-list 116 permit gre any any
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "ISA за PIX 515"
	Сообщение от Ilya (??) on 15-Авг-05, 14:53  (MSK)
	>>access-group 116 out interface outside >>access-group 116 in interface inside >а если вот эти две строчки убрать? или в access-list 116 permit >gre any any ccess-list 116 line 1 extended permit tcp any any (hitcnt=3852) access-list 116 line 2 extended permit ip any any (hitcnt=426) access-list 116 line 3 extended permit icmp any any (hitcnt=0) access-list 116 line 4 extended permit udp any any (hitcnt=0) access-list 116 line 5 extended permit gre any any (hitcnt=0) access-list 116 line 6 extended permit tcp any eq pptp any eq pptp (hitcnt=0)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "ISA за PIX 515"
	Сообщение от Eduard_k (??) on 15-Авг-05, 16:41  (MSK)
	>>>access-group 116 out interface outside >>>access-group 116 in interface inside >>а если вот эти две строчки убрать? или в access-list 116 permit >>gre any any > > >ccess-list 116 line 1 extended permit tcp any any (hitcnt=3852) >access-list 116 line 2 extended permit ip any any (hitcnt=426) >access-list 116 line 3 extended permit icmp any any (hitcnt=0) >access-list 116 line 4 extended permit udp any any (hitcnt=0) >access-list 116 line 5 extended permit gre any any (hitcnt=0) >access-list 116 line 6 extended permit tcp any eq pptp any eq >pptp (hitcnt=0) ну я даже не знаю, наверняка еще IKE надо разрешить.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "ISA за PIX 515"
	Сообщение от ilya (??) on 16-Авг-05, 11:59  (MSK)
	>>>>access-group 116 out interface outside >>>>access-group 116 in interface inside >>>а если вот эти две строчки убрать? или в access-list 116 permit >>>gre any any >> >> >>ccess-list 116 line 1 extended permit tcp any any (hitcnt=3852) >>access-list 116 line 2 extended permit ip any any (hitcnt=426) >>access-list 116 line 3 extended permit icmp any any (hitcnt=0) >>access-list 116 line 4 extended permit udp any any (hitcnt=0) >>access-list 116 line 5 extended permit gre any any (hitcnt=0) >>access-list 116 line 6 extended permit tcp any eq pptp any eq >>pptp (hitcnt=0) > >ну я даже не знаю, наверняка еще IKE надо разрешить. и может быть еще esp и ah. что бы точно сказать - нужно знать какие протоколы ИСА использует.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "ISA за PIX 515"
	Сообщение от Ilya (??) on 17-Авг-05, 08:00  (MSK)
	Все всем спасибо заработало само сабой!!!
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.