forum.opennet.ru - "Снова PIX и доступ из Интернета в ДМЗ" (1)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Снова PIX и доступ из Интернета в ДМЗ"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Снова PIX и доступ из Интернета в ДМЗ"
Сообщение от kant (??) on 27-Дек-05, 13:01 (MSK)
Добрый день! Бьюсь уже вторые сутки... Перечитал уже весь форум. Конфиг как по книжке а не работает... А именно нет доступа из инета к Веб серваку в ДМЗ. Вернее static работает... Пробрасывает через адрес оуктсайда на веб сервак... Но мне так не надо у меня в ДМЗ пул внешних адресов... Надо просто чтобы с оутсайда пропускались пакеты в ДМЗ.. Чтобы из инета было видно не адрес оутсайда и все адреса в ДМЗ. Подскажите хотябы в какую сторону копать.... Конфиг вот такой вот: : Saved : Written by enable_15 at 09:16:33.782 UTC Tue Dec 27 2005 PIX Version 6.3(1) interface ethernet0 100full interface ethernet1 100full interface ethernet2 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security50 hostname pix515-2 fixup protocol domain 53 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol ils 389 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 names access-list acl_out permit tcp any host 81.177.95.66 eq domain access-list acl_out permit tcp any host 81.177.95.66 eq www access-list acl_out permit tcp any host 81.177.95.66 eq smtp access-list acl_out permit udp any host 81.177.95.66 eq domain access-list acl_out permit icmp any any access-list acl_out permit tcp any host 81.177.95.118 eq www access-list acl_dmz permit icmp any any access-list acl_dmz permit tcp any any access-list acl_dmz permit udp any any access-list acl_in permit icmp any any access-list acl_in permit tcp any any pager lines 24 logging on logging buffered debugging mtu outside 1500 mtu inside 1500 mtu dmz 1500 ip address outside 81.177.95.118 255.255.255.248 ip address inside 81.177.95.122 255.255.255.252 ip address dmz 81.177.95.94 255.255.255.224 ip audit info action alarm ip audit attack action alarm pdm history enable arp timeout 14400 global (outside) 1 81.177.95.116-81.177.95.117 netmask 255.255.255.252 global (outside) 1 81.177.95.114 netmask 255.255.255.255 global (dmz) 1 81.177.95.93 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 nat (dmz) 1 81.177.95.64 255.255.255.224 0 0 static (dmz,outside) 81.177.95.118 81.188.95.66 netmask 255.255.255.255 0 0 access-group acl_out in interface outside access-group acl_in in interface inside access-group acl_dmz in interface dmz route outside 0.0.0.0 0.0.0.0 81.177.95.113 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps console timeout 0 terminal width 120 banner login welcome to pix5152 router!!! : end
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Снова PIX и доступ из Интернета в ДМЗ, kant, 16:34 , 27-Дек-05, (1)

Сообщения по теме [Сортировка по времени, UBB]

1. "Снова PIX и доступ из Интернета в ДМЗ"

Сообщение от kant (ok) on 27-Дек-05, 16:34 (MSK)

>Добрый день!
>Бьюсь уже вторые сутки... Перечитал уже весь форум.
>Конфиг как по книжке а не работает... А именно нет доступа из
>инета к Веб серваку в ДМЗ.
>Вернее static работает... Пробрасывает через адрес оуктсайда на веб сервак... Но мне
>так не надо у меня в ДМЗ пул внешних адресов... Надо
>просто чтобы с оутсайда пропускались пакеты в ДМЗ.. Чтобы из инета
>было видно не адрес оутсайда и все адреса в ДМЗ.
>Подскажите хотябы в какую сторону копать....
>Конфиг вот такой вот:
>: Saved
>: Written by enable_15 at 09:16:33.782 UTC Tue Dec 27 2005
>PIX Version 6.3(1)
>interface ethernet0 100full
>interface ethernet1 100full
>interface ethernet2 100full
>nameif ethernet0 outside security0
>nameif ethernet1 inside security100
>nameif ethernet2 dmz security50
>hostname pix515-2
>fixup protocol domain 53
>fixup protocol ftp 21
>fixup protocol h323 h225 1720
>fixup protocol h323 ras 1718-1719
>fixup protocol http 80
>fixup protocol ils 389
>fixup protocol rsh 514
>fixup protocol rtsp 554
>fixup protocol sip 5060
>fixup protocol sip udp 5060
>fixup protocol skinny 2000
>fixup protocol smtp 25
>fixup protocol sqlnet 1521
>names
>access-list acl_out permit tcp any host 81.177.95.66 eq domain
>access-list acl_out permit tcp any host 81.177.95.66 eq www
>access-list acl_out permit tcp any host 81.177.95.66 eq smtp
>access-list acl_out permit udp any host 81.177.95.66 eq domain
>access-list acl_out permit icmp any any
>access-list acl_out permit tcp any host 81.177.95.118 eq www
>access-list acl_dmz permit icmp any any
>access-list acl_dmz permit tcp any any
>access-list acl_dmz permit udp any any
>access-list acl_in permit icmp any any
>access-list acl_in permit tcp any any
>pager lines 24
>logging on
>logging buffered debugging
>mtu outside 1500
>mtu inside 1500
>mtu dmz 1500
>ip address outside 81.177.95.118 255.255.255.248
>ip address inside 81.177.95.122 255.255.255.252
>ip address dmz 81.177.95.94 255.255.255.224
>ip audit info action alarm
>ip audit attack action alarm
>pdm history enable
>arp timeout 14400
>global (outside) 1 81.177.95.116-81.177.95.117 netmask 255.255.255.252
>global (outside) 1 81.177.95.114 netmask 255.255.255.255
>global (dmz) 1 81.177.95.93
>nat (inside) 1 0.0.0.0 0.0.0.0 0 0
>nat (dmz) 1 81.177.95.64 255.255.255.224 0 0
>static (dmz,outside) 81.177.95.118 81.188.95.66 netmask 255.255.255.255 0 0
>access-group acl_out in interface outside
>access-group acl_in in interface inside
>access-group acl_dmz in interface dmz
>route outside 0.0.0.0 0.0.0.0 81.177.95.113 1
>timeout xlate 3:00:00
>timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
>timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
>timeout uauth 0:05:00 absolute
>aaa-server TACACS+ protocol tacacs+
>aaa-server RADIUS protocol radius
>aaa-server LOCAL protocol local
>no snmp-server location
>no snmp-server contact
>snmp-server community public
>no snmp-server enable traps
>console timeout 0
>terminal width 120
>banner login welcome to pix5152 router!!!
>: end

Отвечаю сам себе..
Значит так! выкидываем всю трихомудию с NAT и PAT
и пробрасываем все что надо через static
подкрепляя все это дело аксесс листом соответственно

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Снова PIX и доступ из Интернета в ДМЗ"
Сообщение от kant (ok) on 27-Дек-05, 16:34 (MSK)
>Добрый день! >Бьюсь уже вторые сутки... Перечитал уже весь форум. >Конфиг как по книжке а не работает... А именно нет доступа из >инета к Веб серваку в ДМЗ. >Вернее static работает... Пробрасывает через адрес оуктсайда на веб сервак... Но мне >так не надо у меня в ДМЗ пул внешних адресов... Надо >просто чтобы с оутсайда пропускались пакеты в ДМЗ.. Чтобы из инета >было видно не адрес оутсайда и все адреса в ДМЗ. >Подскажите хотябы в какую сторону копать.... >Конфиг вот такой вот: >: Saved >: Written by enable_15 at 09:16:33.782 UTC Tue Dec 27 2005 >PIX Version 6.3(1) >interface ethernet0 100full >interface ethernet1 100full >interface ethernet2 100full >nameif ethernet0 outside security0 >nameif ethernet1 inside security100 >nameif ethernet2 dmz security50 >hostname pix515-2 >fixup protocol domain 53 >fixup protocol ftp 21 >fixup protocol h323 h225 1720 >fixup protocol h323 ras 1718-1719 >fixup protocol http 80 >fixup protocol ils 389 >fixup protocol rsh 514 >fixup protocol rtsp 554 >fixup protocol sip 5060 >fixup protocol sip udp 5060 >fixup protocol skinny 2000 >fixup protocol smtp 25 >fixup protocol sqlnet 1521 >names >access-list acl_out permit tcp any host 81.177.95.66 eq domain >access-list acl_out permit tcp any host 81.177.95.66 eq www >access-list acl_out permit tcp any host 81.177.95.66 eq smtp >access-list acl_out permit udp any host 81.177.95.66 eq domain >access-list acl_out permit icmp any any >access-list acl_out permit tcp any host 81.177.95.118 eq www >access-list acl_dmz permit icmp any any >access-list acl_dmz permit tcp any any >access-list acl_dmz permit udp any any >access-list acl_in permit icmp any any >access-list acl_in permit tcp any any >pager lines 24 >logging on >logging buffered debugging >mtu outside 1500 >mtu inside 1500 >mtu dmz 1500 >ip address outside 81.177.95.118 255.255.255.248 >ip address inside 81.177.95.122 255.255.255.252 >ip address dmz 81.177.95.94 255.255.255.224 >ip audit info action alarm >ip audit attack action alarm >pdm history enable >arp timeout 14400 >global (outside) 1 81.177.95.116-81.177.95.117 netmask 255.255.255.252 >global (outside) 1 81.177.95.114 netmask 255.255.255.255 >global (dmz) 1 81.177.95.93 >nat (inside) 1 0.0.0.0 0.0.0.0 0 0 >nat (dmz) 1 81.177.95.64 255.255.255.224 0 0 >static (dmz,outside) 81.177.95.118 81.188.95.66 netmask 255.255.255.255 0 0 >access-group acl_out in interface outside >access-group acl_in in interface inside >access-group acl_dmz in interface dmz >route outside 0.0.0.0 0.0.0.0 81.177.95.113 1 >timeout xlate 3:00:00 >timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 >timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 >timeout uauth 0:05:00 absolute >aaa-server TACACS+ protocol tacacs+ >aaa-server RADIUS protocol radius >aaa-server LOCAL protocol local >no snmp-server location >no snmp-server contact >snmp-server community public >no snmp-server enable traps >console timeout 0 >terminal width 120 >banner login welcome to pix5152 router!!! >: end Отвечаю сам себе.. Значит так! выкидываем всю трихомудию с NAT и PAT и пробрасываем все что надо через static подкрепляя все это дело аксесс листом соответственно
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]