Новые ответы

PIX 515e, PAT, DMZ,

frozer, 06-Июн-05, 11:00 [смотреть все]

Добрый день!
Как побороть PIX на предмет трансляции портов:
конфигурация такая -
outside - 192.168.127.253 255.255.255.252
inside - 192.168.168.15.251 255.255.255.0
dmz - 192.168.127.249 255.255.255.252
В dmz - 1(один) почтовый сервер 192.168.127.250 255.255.255.252
В outside - 1(один) клиент 192.168.127.254 255.255.255.252
Как сделать:
- что-бы из внутренней сети (inside) при обращении на адрес 192.168.15.251 порт 22,25,110 соединение перебрасывалось на 192.168.127.250 на соответствующий порт
- что-бы из внешней сети (outside) при обращении на адрес 192.168.127.253 порт 22,25,110 соединение перебрасывалось на 192.168.127.250 на соответствующий порт
- сервер из dmz мог обращаться к dns серверу во внутренней сети.
Документация, до которой смог дотянуться описывает варианты PAT когда количество адресов на интерфейсах больше 2 (т.е. маска не /30). На FreeBSD эта же конфигурация делается в 2 строчки /etc/natd.conf, как реализовать с PIX пока не представляю...
interface ethernet0 auto shutdown
interface ethernet1 auto
interface ethernet2 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security4
ip address outside 192.168.127.253 255.255.255.252
ip address inside 192.168.15.251 255.255.255.0
ip address dmz 192.168.127.249 255.255.255.252
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (dmz,inside) tcp interface ssh 192.168.127.250 ssh netmask 255.255.255.255 0 0
access-group acl_in in interface inside
access-group acl_dmz in interface dmz
На попытку достучаться на 22 порт - пишет Connection refused.

Ответить | Сообщить модератору

PIX 515e, PAT, DMZ, frozer, 10:05 , 08-Июн-05 (1)
Отвечаю сам себе - пришлось таки разнести интерфейсы на _разные_ подсети, т.е. разделить не маской, а номером подсети. Снаружи ssh доступ на сервер в DMZ есть.
Теперь вопрос по доступу от low security интерфейса на hi security интерфейс:
делаю static:
access-list acl_in permit tcp any any
access-list acl_in permit icmp any any
access-list acl_in permit udp any any
access-list acl_dmz permit tcp any any
access-list acl_dmz permit icmp any any
access-list acl_dmz permit udp any any
global (inside) 2 192.168.15.249-192.168.15.250
global (inside) 3 interface
global (dmz) 1 interface
nat (inside) 1 192.168.15.20 255.255.255.255 0 0
nat (dmz) 1 192.168.7.66 255.255.255.255 0 0
static (dmz,inside) tcp 192.168.15.250 ssh 192.168.7.66 ssh netmask 255.255.255.255 0 0
static (inside,dmz) udp 192.168.7.67 domain 192.168.9.1 domain netmask 255.255.255.255 0 0
static (inside,dmz) tcp 192.168.7.67 domain 192.168.9.1 domain netmask 255.255.255.255 0 0
static (inside,dmz) udp 192.168.7.67 ntp 192.168.0.15 ntp netmask 255.255.255.255 0 0
static (inside,dmz) tcp 192.168.7.67 ssh 192.168.15.20 ssh netmask 255.255.255.255 0 0
access-group acl_in in interface inside
access-group acl_dmz in interface dmz
потом с узла 192.168.7.66 делаю nslookup - 192.168.7.67... и тишина, и отваливается с сообщением "No response received".
лог PIX'а:
609001: Built local-host inside:192.168.9.1
305011: Built static UDP translation from inside:192.168.9.1/53 to dmz:192.168.7.67/53
302015: Built inbound UDP connection 15 for dmz:192.168.7.66/35019 (192.168.7.66/35019) to inside:192.168.9.1/53 (192.168.7.67/53)
Может какие-то варианты есть?
Ответить | Сообщить модератору

PIX 515e, PAT, DMZ, frozer, 07:35 , 09-Июн-05 (2)
Вести с фронтов:
Сделал согласно мануала (http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...)
access-list 100 permit tcp 192.168.15.0 255.255.255.0 any eq ssh
access-list 100 permit udp 192.168.0.0 255.255.240.0 any
access-list 100 permit tcp 192.168.0.0 255.255.240.0 any
access-list 101 permit tcp any host 192.168.7.67 eq ssh
access-list 101 permit tcp any host 192.168.7.67 eq smtp
access-list 101 permit udp any host 192.168.7.67 eq domain
access-list 101 permit tcp any host 192.168.7.67 eq domain
...
ip address outside 192.168.127.249 255.255.255.224
ip address inside 192.168.15.251 255.255.255.0
ip address dmz 192.168.7.65 255.255.255.224
...
global (dmz) 1 interface
nat (inside) 1 192.168.15.0 255.255.255.0 0 0
static (dmz,inside) tcp 192.168.15.250 ssh 192.168.7.66 ssh netmask 255.255.255.255 0 0
static (inside,dmz) tcp 192.168.7.67 ssh 192.168.15.20 ssh netmask 255.255.255.255 0 0
static (inside,dmz) tcp 192.168.7.67 domain 192.168.9.1 domain netmask 255.255.255.255 0 0
static (inside,dmz) udp 192.168.7.67 domain 192.168.9.1 domain netmask 255.255.255.255 0 0
access-group 100 in interface inside
access-group 101 in interface dmz
...
Теперь выдает интересную ошибку -
110001: No route to 192.168.7.67 from 192.168.7.66
Ответить | Сообщить модератору