https://www.opennet.ru/openforum/vsluhforumID6/19020.html Пытаюсь настроить cisco pix в режиме firewall transparent, но что-то никак не получается. С пикса пингуются и шлюз и внутренняя сетка за пиксом, я могу подключится по SSH или ASDM, но из сети наружу ничего не проходит. Шлюз не пингуется. Вот конфиг. По режиму transparent очень мало информации. Подскажите в чем может быть дело или где почитать?<br><br>PIX Version 8.0(4) <br>!<br>firewall transparent<br>!<br>hostname FW-GW<br>names<br>!<br>interface Ethernet0<br> nameif outside<br> security-level 0<br>!<br>interface Ethernet1<br> nameif inside<br> security-level 100<br>!<br><br>mtu outside 1500<br>mtu inside 1500<br><br>boot system flash:/pix804.bin<br>asdm image flash:/asdm-613.bin<br>no asdm history enable<br>ftp mode passive<br><br>access-list inside_access_in extended permit ip any any<br>access-group inside_access_in in interface inside<br><br>access-list outside_access_in extended permit icmp any any echo<br>access-list outside_access_in extended permit icmp any any echo-reply<br>access-list outside_access_in extended permit icmp any any source-quench<br>access-list o https://www.opennet.ru/openforum/vsluhforumID6/19020.html#15 Tue, 07 Feb 2012 05:04:08 GMT &gt;&gt;7ю версию не пробовали накатить?<br>&gt; Нет. С 6.4 перешел сразу на 8, и вот решил попробовать режим <br>&gt; transparent. Прихожу к выводу, что надо сбросить весь конфиг на factory <br>&gt; default, а потом все прописать с нуля. Больше идей нет.<br><br>Прошу Вас уточнить, о вашей проблеме с transparent mode????<br> https://www.opennet.ru/openforum/vsluhforumID6/19020.html#14 Thu, 18 Jun 2009 16:31:07 GMT &gt;7ю версию не пробовали накатить? <br><br>Нет. С 6.4 перешел сразу на 8, и вот решил попробовать режим transparent. Прихожу к выводу, что надо сбросить весь конфиг на factory default, а потом все прописать с нуля. Больше идей нет.<br> https://www.opennet.ru/openforum/vsluhforumID6/19020.html#13 Thu, 18 Jun 2009 13:33:48 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;Подключение шлюза выполненое непосредственно в пикс (т.е. ассиметрии трафика нет случайно)? <br>&gt;<br>&gt;В логе ничего интересного нет. Т.е. никаких deny или ошибок. MAC адреса <br>&gt;определяются. Пробовал очищать ARP таблицы и делать ping. После этого в <br>&gt;ARP таблице появляются правильные значения MAC адресов. debug icmp trace 255 <br>&gt;показывает, что ICMP echo принимается внутренним интерфейсом (пингую изнутри) и на <br>&gt;этом все. Судя по косвенным признакам, пакет дропается на внутреннем интерфейсе <br>&gt;и с внешнего не ретранслируется. Причина мне непонятна. В правилах доступа <br>&gt;ставил разрешить все куда угодно. <br><br>7ю версию не пробовали накатить?<br><br> https://www.opennet.ru/openforum/vsluhforumID6/19020.html#12 Wed, 17 Jun 2009 17:21:42 GMT &gt;А что говорит товарисч лог, например logg mon 7 ? <br>&gt;Внутренние хосты видят арп шлюза и наоборот, шлюз видит арп внутренних хостов? <br>&gt;<br>&gt;Подключение шлюза выполненое непосредственно в пикс (т.е. ассиметрии трафика нет случайно)? <br><br>В логе ничего интересного нет. Т.е. никаких deny или ошибок. MAC адреса определяются. Пробовал очищать ARP таблицы и делать ping. После этого в ARP таблице появляются правильные значения MAC адресов. debug icmp trace 255 показывает, что ICMP echo принимается внутренним интерфейсом (пингую изнутри) и на этом все. Судя по косвенным признакам, пакет дропается на внутреннем интерфейсе и с внешнего не ретранслируется. Причина мне непонятна. В правилах доступа ставил разрешить все куда угодно. <br> https://www.opennet.ru/openforum/vsluhforumID6/19020.html#11 Wed, 17 Jun 2009 04:52:54 GMT А что говорит товарисч лог, например logg mon 7 ?<br>Внутренние хосты видят арп шлюза и наоборот, шлюз видит арп внутренних хостов? <br>Подключение шлюза выполненое непосредственно в пикс (т.е. ассиметрии трафика нет случайно)?<br><br> https://www.opennet.ru/openforum/vsluhforumID6/19020.html#10 Tue, 16 Jun 2009 15:07:06 GMT &gt;&gt;<br>&gt;&gt;А собственно роутинг где? <br>&gt;<br>&gt;+1 не обратил внимание :) <br><br>Это режим transparent, там нет роутинга. Так и не разобрался с этим. Пока работает в routed mode.<br> https://www.opennet.ru/openforum/vsluhforumID6/19020.html#9 Thu, 11 Jun 2009 10:03:11 GMT &gt;&gt;&gt;вам нужно что бы кто сидит за фаером пользовался сетью, а из <br>&gt;&gt;&gt;сети не могли к ним достучаться ? <br>&gt;&gt;&gt;тогда воообще не заморачивайтесь с АЦЛ <br>&gt;&gt;<br>&gt;&gt;Я тут максимально упрощаю задачу. Мне нужно, чтобы внутренняя сеть имела доступ <br>&gt;&gt;в нитернет. Все. В access-list именно это я постарался прописать + <br>&gt;&gt;еще правила чтобы работал ping. Еще раз повторю, дело не в <br>&gt;&gt;правилах. А в чем понять не могу до сих пор. <br>&gt;<br>&gt;А собственно роутинг где? <br><br>+1 не обратил внимание :)<br> https://www.opennet.ru/openforum/vsluhforumID6/19020.html#8 Thu, 11 Jun 2009 09:49:59 GMT &gt;&gt;вам нужно что бы кто сидит за фаером пользовался сетью, а из <br>&gt;&gt;сети не могли к ним достучаться ? <br>&gt;&gt;тогда воообще не заморачивайтесь с АЦЛ <br>&gt;<br>&gt;Я тут максимально упрощаю задачу. Мне нужно, чтобы внутренняя сеть имела доступ <br>&gt;в нитернет. Все. В access-list именно это я постарался прописать + <br>&gt;еще правила чтобы работал ping. Еще раз повторю, дело не в <br>&gt;правилах. А в чем понять не могу до сих пор. <br><br>А собственно роутинг где?<br> https://www.opennet.ru/openforum/vsluhforumID6/19020.html#7 Tue, 09 Jun 2009 14:35:41 GMT &gt;вам нужно что бы кто сидит за фаером пользовался сетью, а из <br>&gt;сети не могли к ним достучаться ? <br>&gt;тогда воообще не заморачивайтесь с АЦЛ <br><br>Я тут максимально упрощаю задачу. Мне нужно, чтобы внутренняя сеть имела доступ в нитернет. Все. В access-list именно это я постарался прописать + еще правила чтобы работал ping. Еще раз повторю, дело не в правилах. А в чем понять не могу до сих пор.<br>