https://www.opennet.ru/openforum/vsluhforumID6/18456.html Подскажите как прописать NAT и Access list на PIX чтобы дать всем с внешнего мира доступ к FTP серверу<br> https://www.opennet.ru/openforum/vsluhforumID6/18456.html#17 Wed, 01 Apr 2009 07:26:46 GMT telnet на 212.58.144.115 21 из вне проходит, но команды не работают, я так понял что исходящие пакеты PIX блокирует...но что нужно сделать не знаю, вроде <br>access-list acl_outbound permit tcp host any any <br>стоит...<br> https://www.opennet.ru/openforum/vsluhforumID6/18456.html#16 Wed, 01 Apr 2009 07:07:22 GMT access-list'ы вроде привел в порядок, все равно не работает...<br>может еще кто поможет? если что-то не понятно, могу еще раз подробно объяснимть проблему...<br> https://www.opennet.ru/openforum/vsluhforumID6/18456.html#15 Mon, 30 Mar 2009 11:37:43 GMT &gt;вот смотрите, у меня interface ethernet5 "dmz-web" IP address 192.168.12.1, а у <br>&gt;FTP сервера адрес 192.168.12.2, теперь interface ethernet2 "outside1" IP adreess 212.58.144.114, <br>&gt;а внешний IP который на модеме 212.58.144.118. <br><br>давайте попробуем еще разок... сейчас у меня так, но до сих пор не работает...<br><br>access-list acl_dmz-web permit tcp any host 212.58.144.114 eq ftp-data <br>access-list acl_dmz-web permit tcp any host 212.58.144.114 eq ftp <br><br>ip address outside 10.21.8.254 255.255.255.0<br>ip address inside 192.168.1.1 255.255.255.0<br>ip address outside1 212.58.144.114 255.255.255.248<br>ip address dmz-qw 192.168.11.1 255.255.255.0<br>ip address dmz-smtp 192.168.10.1 255.255.255.0<br>ip address dmz-web 192.168.12.1 255.255.255.0<br><br>global (outside) 1 10.21.8.11<br>global (outside) 1 interface<br>global (outside1) 1 212.58.144.118<br>global (dmz-qw) 1 192.168.11.10-192.168.11.20<br>global (dmz-smtp) 1 192.168.10.10-192.168.10.20<br>global (dmz-web) 1 192.168.12.10-192.168.12.100<br><br>static (dmz-web,outside1) tcp inter https://www.opennet.ru/openforum/vsluhforumID6/18456.html#14 Mon, 30 Mar 2009 09:02:23 GMT &gt;<br>&gt;хорошо, а так: <br>&gt;<br>&gt;ciscoasa(config)#static (dmz-web,outside1)tcp interface ftp 192.168.12.3 ftp netmask 255.255.255.255 <br>&gt;ciscoasa(config)#access-list 100 extended permit tcp any host 212.58.144.118 eq ftp <br>&gt;ciscoasa(config)#access-group 100 in interface outside1 <br><br>вот смотрите, у меня interface ethernet5 "dmz-web" IP address 192.168.12.1, а у FTP сервера адрес 192.168.12.2, теперь interface ethernet2 "outside1" IP adreess 212.58.144.114, а внешний IP который на модеме 212.58.144.118.<br>теперь у меня щас прописано так <br>pix1# sh static<br>static (dmz-web,inside) tcp interface ftp web ftp netmask 255.255.255.255 0 0 <br>static (dmz-web,outside) tcp interface ftp web ftp netmask 255.255.255.255 0 0 <br>static (inside,outside) tcp interface ftp web ftp netmask 255.255.255.255 0 0 <br>static (inside,outside) tcp interface ftp-data web ftp-data netmask 255.255.255.255 0 0 <br>static (dmz-smtp,outside) 10.21.8.2 smtp-server netmask 255.255.255.255 0 0 <br>static (inside,dmz-smtp) 192.168.10.3 pdc netmask 255.255.255. https://www.opennet.ru/openforum/vsluhforumID6/18456.html#13 Mon, 30 Mar 2009 08:35:00 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;тогда так: <br>&gt;&gt;<br>&gt;&gt;ciscoasa(config)#static (dmz-web,outside1) 212.58.144.118 192.168.12.3 netmask 255.255.255.255 <br>&gt;&gt;ciscoasa(config)#access-list 100 extended permit tcp any host 212.58.144.118 eq ftp <br>&gt;&gt;ciscoasa(config)#access-group 100 in interface outside1 <br>&gt;<br>&gt;и так попробовал, не идет, раньше сайт говорят работал на том же <br>&gt;хосте где щас фтп, если сайт работал то и фтп должен <br>&gt;работать, а сейчас и сайт не работает... <br><br>хорошо, а так:<br><br>ciscoasa(config)#static (dmz-web,outside1)tcp interface ftp 192.168.12.3 ftp netmask 255.255.255.255<br>ciscoasa(config)#access-list 100 extended permit tcp any host 212.58.144.118 eq ftp <br>ciscoasa(config)#access-group 100 in interface outside1 <br> https://www.opennet.ru/openforum/vsluhforumID6/18456.html#12 Mon, 30 Mar 2009 05:28:53 GMT &gt;<br>&gt;Я так понимаю, необходимо разрешить трафик с интерфейса outside1 на интерфейс dmz-web <br>&gt;??? <br>&gt;<br>&gt;<br>&gt;тогда так: <br>&gt;<br>&gt;ciscoasa(config)#static (dmz-web,outside1) 212.58.144.118 192.168.12.3 netmask 255.255.255.255 <br>&gt;ciscoasa(config)#access-list 100 extended permit tcp any host 212.58.144.118 eq ftp <br>&gt;ciscoasa(config)#access-group 100 in interface outside1 <br><br>и так попробовал, не идет, раньше сайт говорят работал на том же хосте где щас фтп, если сайт работал то и фтп должен работать, а сейчас и сайт не работает...<br> https://www.opennet.ru/openforum/vsluhforumID6/18456.html#11 Wed, 25 Mar 2009 08:47:31 GMT &gt;[оверквотинг удален]<br>&gt;interface ethernet2 auto <br>&gt;interface ethernet3 auto <br>&gt;interface ethernet4 auto <br>&gt;interface ethernet5 auto <br>&gt;nameif ethernet0 outside security0 <br>&gt;nameif ethernet1 inside security100 <br>&gt;nameif ethernet2 outside1 security0 <br>&gt;nameif ethernet3 dmz-qw security50 <br>&gt;nameif ethernet4 dmz-smtp security40 <br>&gt;nameif ethernet5 dmz-web security30 <br><br>Я так понимаю, необходимо разрешить трафик с интерфейса outside1 на интерфейс dmz-web ???<br><br><br>тогда так:<br><br>ciscoasa(config)#static (dmz-web,outside1) 212.58.144.118 192.168.12.3 netmask 255.255.255.255<br>ciscoasa(config)#access-list 100 extended permit tcp any host 212.58.144.118 eq ftp<br>ciscoasa(config)#access-group 100 in interface outside1<br> https://www.opennet.ru/openforum/vsluhforumID6/18456.html#10 Wed, 25 Mar 2009 05:56:35 GMT Вот вся конфига, не работает...<br>канал адсл, арендуем 8 айпишников, ходим на внешний мир через этот 212.58.144.118(условный) <br><br>PIX Version 6.3(5)<br>interface ethernet0 auto<br>interface ethernet1 auto<br>interface ethernet2 auto<br>interface ethernet3 auto<br>interface ethernet4 auto<br>interface ethernet5 auto<br>nameif ethernet0 outside security0<br>nameif ethernet1 inside security100<br>nameif ethernet2 outside1 security0<br>nameif ethernet3 dmz-qw security50<br>nameif ethernet4 dmz-smtp security40<br>nameif ethernet5 dmz-web security30<br>enable password xxxxxxxxxxxxxxxxxx encrypted<br>passwd xxxxxxxxxxxxxxxxxx encrypted<br>hostname xxxxx<br>domain-name xxxxxxxxxxxxxxxxx.xxx<br>fixup protocol dns maximum-length 512<br>fixup protocol ftp 21<br>fixup protocol h323 h225 1720<br>fixup protocol h323 ras 1718-1719<br>fixup protocol http 80<br>fixup protocol rsh 514<br>fixup protocol rtsp 554<br>fixup protocol sip 5060<br>fixup protocol sip udp 5060<br>fixup protocol skinny 2000<br>fixup protocol smtp 25<br>fixup protocol sqlnet 1521<br>fixup protocol tftp 69<br>names https://www.opennet.ru/openforum/vsluhforumID6/18456.html#9 Fri, 20 Mar 2009 06:07:28 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;стоит pix 515e (версия 6.3(5)) мне кажется он не понимает "extended" <br>&gt;при вводе команды access-list acl_inbound extended permit tcp any host x.x.x.x <br>&gt;eq ftp выводит сообщение "not a valid permission" - думал проблемы <br>&gt;с привелегиями, написал комманду sh user, он мне показывает privilege 2, <br>&gt;а написал команду sh curpriv, <br>&gt;в ответ - <br>&gt;Username : enable_15 <br>&gt;Current privilege level : 15 <br>&gt;Current Mode/s : P_PRIV P_CONF <br><br>Давайте с самого начала.<br>а) 6.3(5) понимает extended<br>б) поразумевается, что у вас есть некий диапазон внешних адресов, из него выделяем адрес под ваш фтп. В примере это 80.10.10.10.; настройки inside, dmz и outside интерфейсов сделаны, роутинг настроен ; ftp находится в dmz<br><br>Открываем внутренний ftp на адресе 192.168.12.1 в интернет (NAT):<br><br>static (dmz,outside) 80.10.10.10 192.168.12.1 netmask 255.255.255.255<br>! сделали привязку внешнего адреса к внутреннему<br>access-list acl_in extended permit tcp any host 80.10.10.10 eq ftp<br>! разрешили обращени