Raredemon Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору DanCap Цитата: global (outside) 2 a.b.c.2   должно быть global (outside) 1 - это номер правила ната который указывает какие внутренние адреса нужно натить. ---------- Designed for Windows XP. Powered by Gentoo! Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логу прокси.... Всего записей: 1787 | Зарегистр. 03-09-2003 | Отправлено: 08:00 18-02-2008

8BNHWZ Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору DanCap ставишь в начале листа access-list inside_nat0_outbound deny ip host x.y.10.10 any   или сделать так (смотря какая задача) global (outside) 1 a.b.c.2   static (inside,outside) a.b.c.2 x.y.10.10 netmask 255.255.255.255 0 0   Всего записей: 60 | Зарегистр. 18-05-2005 | Отправлено: 19:58 18-02-2008

8BNHWZ Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору DanCap   варианты есть разные, кому как нравится, так и делает(зависит от задачи и предпочтений). у меня так работает ! global (outside) 1 77.106.200.22 global (outside) 2 77.106.200.20 global (outside) 3 interface ! nat (inside) 0 access-list 101 nat (inside) 1 10.24.242.6 255.255.255.255 0 0 nat (inside) 2 10.24.242.100 255.255.255.255 0 0 nat (inside) 3 0.0.0.0 0.0.0.0 0 0 ! если так не хочешь, конфиг целиком выложи, попробую подсказать. Всего записей: 60 | Зарегистр. 18-05-2005 | Отправлено: 22:50 18-02-2008 | Исправлено: 8BNHWZ, 00:30 19-02-2008

8BNHWZ Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору DanCap Цитата: что у тебя входит в access-list 101 этим правилом описывается, что не надо натить пакеты из локалки к VPN-клиентам. и vpngroup default split-tunnel 101 Всего записей: 60 | Зарегистр. 18-05-2005 | Отправлено: 12:31 20-02-2008 | Исправлено: 8BNHWZ, 12:40 20-02-2008

phandorin Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ребята помогите настроить VPN через Cisco 5510. Схема такая:   Есть 3 стороны участвующие в VPN.   Сторона 1 - ISP провайдер принимающий сигналы от устройств в сети 172.18.0.0/16 имеет внешний ip1 для peer.     Сторона 2 - наша cisco 5510 передающая транзитом информацию о состоянии устройств в сети 172.18.0.0/16 стороне 3. имеет внешний ip2 для peer.     Сторона 3 - мониторит состояние устройств в сети 172.18.0.0/16 и получающая     информацию от стороны 1 через сторону 2 транзитом. имеет внешний ip3 для peer.   Как настроить сторону 2 (Cisco 5510) для обеспечения связности? Всего записей: 132 | Зарегистр. 05-08-2005 | Отправлено: 18:53 19-03-2008

res2001 Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Народ! Помогите, плз., голова уже набекрень.   Настраиваю тунель ASA5505 <-> FreeBSD, с обеих сторон локальные сети. ЛВС на ASA5505 ходит через НАТ, ЛВС за FreeBSD без НАТа. ДМЗ за циской нет. Тунель настроил, из ЛВС за циской могу спокойно обращаться к компам в ЛВС за фрей, а наоборо не выходит.   Правило НАТа для доступа из вне   static (inside,outside) tcp 172.17.1.5 2222 192.168.1.99 2222 netmask 255.255.255.255   172.17.1.5 - внешний адрес циски, 192.168.1.99 - адрес сервера к которому нужно получить доступ, находится в ЛВС за циской.   На фаерволе у циски, на данный момент, все разрешено во всех направлениях. Когда заработает, конечно буду дыры закрывать.   Настраивал через ASDM. Packet Tracer в ASDMе на тестовый пакет из ЛВС за фрей к 172.17.1.5:2222 показывает   static (inside,outside) tcp 172.17.1.5 2222 192.168.1.99 2222 netmask 255.255.255.255 nat-control match tcp inside host 192.168.1.99 eq 2222 outside any static translation to 172.17.1.5/2222 translate_hits = 0, untranslate_hits = 8 Info NAT divert to egress interface inside Untranslate 172.17.1.5/2222 to 192.168.1.99/2222 using netmask 255.255.255.255   Похоже, что НАТ не отработал, как хотелось.   Подскажите, что я не правильно делаю, уже несколько дней бьюсь! Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 16:07 17-04-2008 | Исправлено: res2001, 16:40 17-04-2008

res2001 Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Если кому интересно, проблемму пока решить не удалось, но обходной путь есть: не использовать PAT. Пришлось на этот сервер отдать целый внешний IP-адрес. В таком режиме заработало. Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 08:46 18-04-2008

slut Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору res2001 хм, весьма смутило Код:   static (inside,outside) tcp 172.17.1.5 2222 192.168.1.99 2222 netmask 255.255.255.255     Не знаю как в ASA, но по логике PixOS (а на ASA он и есть) всё бы выглядело приблизительно так: Код:   ! сначала собственно PAT static (inside,outside) 172.17.1.5 192.168.1.99 netmask 255.255.255.255 ! ! firewall изначально ничего не пропускает извне вовнутрь ! соответственно, делаем acl, по которому будет пропускать то, что необходимо ! access-list list_in extended permit icmp any host 172.17.1.5 ! этот пропустит пинги с любого хоста access-list list_in extended permit ip any host 172.17.1.5 ! этот собственно должен пропустить всё. Так делать не рекомендуется, посему   ! обычно отворяют только нужные двери, например: access-list list_in extended permit tcp any host 172.17.1.5 eq ftp ! ! на исходящие соединения делают по аналогии если есть необходимость открыть какие-либо конкретные сервисы. ! ! далее собственно навершивает acl на интерфейс: access-group list_in in interface outside ! ! вроде всё, скидываем xlate cle x !   Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 09:40 21-04-2008 | Исправлено: slut, 09:53 21-04-2008

slut Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Isyaslav При настройке PIX трудно выделить то "с чего начать". Изначально крайне рекомендуется понимать логику работы данной системы. Т.е. вполне логично отправиться курить мануалы на cisco.com, там всё популярно описано, включая Cisco Pix 6.x configuration example. Лучше бы Вы дали некие изначальные параметры, типа вашего пула "белых" адресов, адресацию внутренней сети, кому что можно, и мы бы вам накидали некий скелет, по которому уже можно было бы детальнее разбираться. Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 19:43 21-04-2008

res2001 Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору slut Где же тут PAT? Код: ! сначала собственно PAT   static (inside,outside) 172.17.1.5 192.168.1.99 netmask 255.255.255.255     Это же обычный static NAT, именно так я сейчас и сделал, и именно так работает. Но для этого пришлось выделить отдельный внешний адрес.   Это сейчас мне нужен доступ только к одному серверу внутри сети, а когда понадобится больше? А это произойдет уже скоро. Придется выделять дополнительные адреса, хотелось этого избежать.   Первоначальная идея была использовать PAT, т.е. перебрасывать все что пришло на порт 2222 внешнего интерфейса на внутренний адрес: Код: static (inside,outside) tcp 172.17.1.5 2222 192.168.1.99 2222 netmask 255.255.255.255   Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 10:02 22-04-2008 | Исправлено: res2001, 10:13 22-04-2008

slut Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору res2001 Дык, если не хотите прокидывать отдельный адрес на конкретный хост, то вам прям в руки идёт порт-маппинг. Вообще по идее сербезные сервера прокидываются статично, ка описано выше. Если вы хотите некий пул, то настраивается порт-маппинг, когда на одном белом адресе на разных портах откликаются разные внутренние хосты Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 21:45 22-04-2008

res2001 Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору slut О чем и реч, хотел добиться именно этого. Не получилось. Я не силен в цисках. Когда в том же правиле НАТа включаю ПАТ, настраиваю порты, то все перестает работать.   Что я не так делаю? Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 09:48 23-04-2008

slut Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору res2001 к сожалению, под рукой рабочего конфига нет ввиде непользования данной фичи. Но помню точно, что порт-маппинг делается не через static (insite,outside), а через global (outsite) + nat (inside). Если не разберетесь - пишите, я попробую у себя сэмулировать. Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 20:04 23-04-2008

Isyaslav Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору slut Да я с Вами совершенно согласен. Вот только что у меня не получается понять пока... Самое главное не получается настроить просто пинга между двумя машинами, которые подключены в соответствующие интерфейсы 192.168.20.10 соответственно к 192.168.20.1 192.168.4.10 соответственно к 192.168.4.1   Вобщем слил конфигурацию, помогите разобраться, добрые люди, где и что надо сделать чтобы эти две машинки могли пинговать друг друга. Заранее благодарен, Isyaslav....   Result of firewall command: "show startup"   : Saved : Written by enable_15 at 07:14:34.962 UTC Thu Apr 24 2008 PIX Version 6.3(5) interface ethernet0 auto interface ethernet1 auto nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall domain-name ciscopix.com fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list inside_access_in permit icmp interface inside interface outside   access-list outside_access_in permit icmp interface outside host 192.168.4.1   pager lines 24 mtu outside 1500 mtu inside 1500 ip address outside 192.168.20.1 255.255.254.0 ip address inside 192.168.4.1 255.255.254.0ip audit info action alarm ip audit attack action alarm pdm logging informational 100 pdm history enable arp timeout 14400 global (outside) 10 interface static (inside,outside) 192.168.4.1 192.168.4.1 netmask 255.255.255.255 0 0   access-group outside_access_in in interface outside access-group inside_access_in in interface inside timeout xlate 0:05:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+   aaa-server TACACS+ max-failed-attempts 3   aaa-server TACACS+ deadtime 10   aaa-server RADIUS protocol radius   aaa-server RADIUS max-failed-attempts 3   aaa-server RADIUS deadtime 10   aaa-server LOCAL protocol local   http server enable http 192.168.20.0 255.255.254.0 outside http 192.168.4.0 255.255.254.0 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable telnet timeout 5 ssh timeout 5 console timeout 0 terminal width 80 Cryptochecksum:0da951ca39b4d68b63c00eb53d591cd0 Всего записей: 7 | Зарегистр. 03-04-2008 | Отправлено: 11:37 24-04-2008

res2001 Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору slut Пока не могу настроить желаемую конфигурацию. Уже поджимает время (есть еще пара дней). Остановлюсь на статическом НАТе. Настроенную циску надо будет отправлять в другой город, посему дальнейшие манипуляции представляются потенциально опасными вдруг отвалится все и придется самому туда ехать.   Isyaslav Если я все правильно понял, то НАТ тебе не нужен, посему удали правило НАТа, все равно оно у тебя какое-то кривое и не должно работать в таком виде. В access-listах надо указывать правила для двух направлений на каждом интерфейсе, т.е. inside input/output и outside input/output, соответственно для входящих/исходящих пакетов на внутреннем и внешнем интерфейсах. Для начала я бы посоветовал все 4 правила написать как разрешающие все пакеты. Когда добьешся работы в этом режиме, отредактируешь правила в соответствии с потребностями. Оставлять разрешения в рабочем варианте "все для всех" крайне не рекомендуется. Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 11:54 24-04-2008 | Исправлено: res2001, 12:01 24-04-2008

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование