URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 6007
[ Назад ]

Исходное сообщение
"Опять PIX"
Отправлено GolDi , 25-Авг-04 18:04

Есть PIX, решил попробовать настроить.
Вот куски конфига
PIX Version 6.3(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
access-list acl_out permit icmp any any
access-list acl_out permit tcp any any eq nntp
access-list acl_out permit tcp any any eq domain
access-list acl_out permit udp any any
access-list acl_dmz permit icmp any any
access-list acl_dmz permit tcp any any eq nntp
access-list acl_dmz permit tcp any any eq domain
access-list acl_dmz permit udp any any
access-list acl_dmz permit tcp host 172.16.1.2 any eq www
ip address outside 213.137.xxx.xxx 255.255.255.128
ip address inside 192.168.0.9 255.255.255.252
ip address dmz 172.16.1.1 255.255.255.0
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
nat (dmz) 1 0.0.0.0 0.0.0.0 0 0
access-group acl_out in interface outside
access-group acl_dmz in interface dmz
route outside 0.0.0.0 0.0.0.0 213.137.ххх.ххх 1
В dmz есть комп 172.16.1.2 С него есть выход в Internet через outside
В inside есть комп DNS 192.168.0.10 (ну так вот для примера)
Вопрос, как сделать так чтобы 172.16.1.2 ходил на DNS в Inside а не через outside.
Доки читал, но что-то не понял их.Игрался со static но не получилось.
Помогите.

Содержание

Опять PIX,Pavel117, 12:29 , 26-Авг-04
Опять PIX,ruff, 14:34 , 30-Авг-04
- Опять PIX,GolDi, 17:02 , 30-Авг-04

Сообщения в этом обсуждении

"Опять PIX"
Отправлено Pavel117 , 26-Авг-04 12:29

Пишешь
static (inside,dmz) 192.168.0.10 192.168.0.10
или, в целях безопасности, если не хочешь чтобы в DMZ знали про внутреннюю адресацию
static (inside,dmz) 10.0.0.5 192.168.0.10
(10.0.0.5 - для примера. Зависит от того, в какую сеть у тебя отображаются внутренние адреса при обращении в DMZ)
Прописываешь на 172.16.1.2 соответствующий DNS (192.168.0.10 или 10.0.0.5)
и все работает.

"Опять PIX"
Отправлено ruff , 30-Авг-04 14:34

Пишеш
static (inside,dmz) tcp 172.16.1.1 53 192.168.0.10 53
static (inside,dmz) udp 172.16.1.1 53 192.168.0.10 53
и рулиш на 172.16.1.2 dns на 172.16.1.1

"Опять PIX"
Отправлено GolDi , 30-Авг-04 17:02

>Пишеш
>
>static (inside,dmz) tcp 172.16.1.1 53 192.168.0.10 53
>static (inside,dmz) udp 172.16.1.1 53 192.168.0.10 53
>
>и рулиш на 172.16.1.2 dns на 172.16.1.1
А access-list не нужен ? какой и на какой интерфейс если нужен.
Хотя бы что надо написать чтобы можно было пинговать из
172.16.1.2 адрес 192.168.0.10 и обратно.
Спасибо