forum.opennet.ru - "PIX - развести один внешний адрес на два внутренних" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"PIX - развести один внешний адрес на два внутренних"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"PIX - развести один внешний адрес на два внутренних"
Сообщение от IgorB on 09-Июн-08, 15:59
Коллеги, так имеет задача решение на PIX-506Е (прошивка 6.3) или нет? Еще раз суть задачи: 1. Есть PIX с внешним адресом ВА на интерфейсе outside, между внутренним и внешним интерфейсом - NAT (внутренние адреса серые, внешний - белый). 2. Есть два сервера во внутренней сети с адресами ЛА1 и ЛА2 3. При обращении из внешней сети (Интернета) на адрес ВА с адреса К1, запрос должен уходить к ЛА1, соответственно с адреса К2 - на адрес ЛА2. Данный вопрос здесь на форуме поднимался, но ответа не было, были только предложения сменить постановку задачи (развести запросы по портам и т.д.). Вроде бы под эту задачу просится использование static со ссылкой на ACL, но как-то не получается его применить. В документации Cisco во всех примерах решается прямо противоположная задача - один внутренний адрес выпускается во-вне с двух внешних.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

PIX - развести один внешний адрес на два внутренних, lomo, 18:33 , 11-Июн-08, (1)

PIX - развести один внешний адрес на два внутренних, IgorB, 16:00 , 13-Июн-08, (2)

PIX - развести один внешний адрес на два внутренних, wast, 16:40 , 16-Июн-08, (3)

PIX - развести один внешний адрес на два внутренних, IgorB, 20:46 , 16-Июн-08, (4)

PIX - развести один внешний адрес на два внутренних, IgorB, 18:47 , 17-Июн-08, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "PIX - развести один внешний адрес на два внутренних"

Сообщение от lomo on 11-Июн-08, 18:33

>Вроде бы под эту задачу просится использование static со ссылкой на ACL,
>но как-то не получается его применить.
А что конкретно не получается?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "PIX - развести один внешний адрес на два внутренних"

Сообщение от IgorB on 13-Июн-08, 16:00

>>Вроде бы под эту задачу просится использование static со ссылкой на ACL,
>>но как-то не получается его применить.
>
>А что конкретно не получается?
Не получается вот что:
1. Теория. По формату команды ACL ставится вместо локального адреса. Где-то так:
access-list 100 permit ip host ЛА1 host К1
static (inside,outside) ВА access-list 100
Т.е. в ACL я должен описать трафик между адресом клиента и ЛОКАЛЬНЫМ адресом. Но клиент обращается к внешнему адресу, не к внутреннему! Т.е. его трафик по этому ACL не опознается! А если в ACL указать
access-list 100 permit ip host ВА host К1
то получается, что локальные адреса в этой конструкции вообще отсутствуют!
2. Практика. Абстрагируясь от записи собственно ACL получается, что я должен написать
static (inside,outside) ВА access-list 100
static (inside,outside) ВА access-list 101
При попытке ввести вторую команду появляется сообщение об ошибке дублирования ВА...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "PIX - развести один внешний адрес на два внутренних"

Сообщение от wast on 16-Июн-08, 16:40

>[оверквотинг удален]
>К1, запрос должен уходить к ЛА1, соответственно с адреса К2 -
>на адрес ЛА2.
>
>Данный вопрос здесь на форуме поднимался, но ответа не было, были только
>предложения сменить постановку задачи (развести запросы по портам и т.д.).
>
>Вроде бы под эту задачу просится использование static со ссылкой на ACL,
>но как-то не получается его применить.
>В документации Cisco во всех примерах решается прямо противоположная задача - один
>внутренний адрес выпускается во-вне с двух внешних.
Воспользуйся именными ACL. В таком случае можно будет сделать правило и промапить оба адреса Ла

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "PIX - развести один внешний адрес на два внутренних"

Сообщение от IgorB on 16-Июн-08, 20:46

>
>Воспользуйся именными ACL. В таком случае можно будет сделать правило и промапить
>оба адреса Ла
>
А нельзя ли чуть подробнее? Может, ссылку на доку, на примеры? Честно говоря, не вижу (в данной ситуации) разницы между именованным и стандартным ACL... Чего-то недопонимаю?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "PIX - развести один внешний адрес на два внутренних"

Сообщение от IgorB on 17-Июн-08, 18:47

>>
>>Воспользуйся именными ACL. В таком случае можно будет сделать правило и промапить
>>оба адреса Ла
>>
>
>А нельзя ли чуть подробнее? Может, ссылку на доку, на примеры? Честно
>говоря, не вижу (в данной ситуации) разницы между именованным и стандартным
>ACL... Чего-то недопонимаю?
Вдогонку - опять же, как повлияет смена типа ACL на невозможность использовать один внешний адрес в двух командах static?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "PIX - развести один внешний адрес на два внутренних"
Сообщение от lomo on 11-Июн-08, 18:33
>Вроде бы под эту задачу просится использование static со ссылкой на ACL, >но как-то не получается его применить. А что конкретно не получается?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "PIX - развести один внешний адрес на два внутренних"
	Сообщение от IgorB on 13-Июн-08, 16:00
	>>Вроде бы под эту задачу просится использование static со ссылкой на ACL, >>но как-то не получается его применить. > >А что конкретно не получается? Не получается вот что: 1. Теория. По формату команды ACL ставится вместо локального адреса. Где-то так: access-list 100 permit ip host ЛА1 host К1 static (inside,outside) ВА access-list 100 Т.е. в ACL я должен описать трафик между адресом клиента и ЛОКАЛЬНЫМ адресом. Но клиент обращается к внешнему адресу, не к внутреннему! Т.е. его трафик по этому ACL не опознается! А если в ACL указать access-list 100 permit ip host ВА host К1 то получается, что локальные адреса в этой конструкции вообще отсутствуют! 2. Практика. Абстрагируясь от записи собственно ACL получается, что я должен написать static (inside,outside) ВА access-list 100 static (inside,outside) ВА access-list 101 При попытке ввести вторую команду появляется сообщение об ошибке дублирования ВА...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "PIX - развести один внешний адрес на два внутренних"
Сообщение от wast on 16-Июн-08, 16:40
>[оверквотинг удален] >К1, запрос должен уходить к ЛА1, соответственно с адреса К2 - >на адрес ЛА2. > >Данный вопрос здесь на форуме поднимался, но ответа не было, были только >предложения сменить постановку задачи (развести запросы по портам и т.д.). > >Вроде бы под эту задачу просится использование static со ссылкой на ACL, >но как-то не получается его применить. >В документации Cisco во всех примерах решается прямо противоположная задача - один >внутренний адрес выпускается во-вне с двух внешних. Воспользуйся именными ACL. В таком случае можно будет сделать правило и промапить оба адреса Ла
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "PIX - развести один внешний адрес на два внутренних"
	Сообщение от IgorB on 16-Июн-08, 20:46
	> >Воспользуйся именными ACL. В таком случае можно будет сделать правило и промапить >оба адреса Ла > А нельзя ли чуть подробнее? Может, ссылку на доку, на примеры? Честно говоря, не вижу (в данной ситуации) разницы между именованным и стандартным ACL... Чего-то недопонимаю?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "PIX - развести один внешний адрес на два внутренних"
	Сообщение от IgorB on 17-Июн-08, 18:47
	>> >>Воспользуйся именными ACL. В таком случае можно будет сделать правило и промапить >>оба адреса Ла >> > >А нельзя ли чуть подробнее? Может, ссылку на доку, на примеры? Честно >говоря, не вижу (в данной ситуации) разницы между именованным и стандартным >ACL... Чего-то недопонимаю? Вдогонку - опять же, как повлияет смена типа ACL на невозможность использовать один внешний адрес в двух командах static?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]