gbcfkf Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Прошу помощи    Есть pix 501, работает как firewall и nat для локальной сети - натятся нектороые серые адреса в белый 200.0.0.5    Есть белые подсети 200.0.0.0/29 и 200.0.0.8/29    Понадобилось пробросить извне порт 3389 на адрес 10.0.0.2    не могу понять что неправильно             Вот текущий конфиг:         ...     nameif ethernet0 outside security0     nameif ethernet1 inside security100     nameif ethernet2 dmz security10     ...     access-list aclOutside permit tcp any 200.0.0.0 255.255.255.248 eq 3389     ...     ip address outside 200.0.0.2 255.255.255.248     ip address inside 10.0.0.1 255.255.255.0     ip address dmz 200.0.0.9 255.255.255.248     ...     global (outside) 1 200.0.0.5 netmask 255.255.255.248     nat (inside) 1 10.0.0.5 255.255.255.255 0 0     nat (inside) 1 10.0.0.11 255.255.255.255 0 0     nat (inside) 1 10.0.0.58 255.255.255.255 0 0     ...     static (inside,outside) tcp 200.0.0.2 3389 10.0.0.2 3389 netmask 255.255.255.255 0 0     access-group aclOutside in interface outside     access-group aclInside in interface inside Всего записей: 702 | Зарегистр. 17-10-2006 | Отправлено: 02:17 30-12-2011

gbcfkf Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Всё, вопрос снят   косяк был в : внутрь пакеты идут на 200.0.0.2. а вовне через 200.0.0.5 Всего записей: 702 | Зарегистр. 17-10-2006 | Отправлено: 04:25 10-01-2012 | Исправлено: gbcfkf, 04:28 11-01-2012

schukin Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору zubastiy Цитата:    Есть ASA5510 (8.2), статик нат для порта 5080    Висит ACL для этого ната - вход только с указанного диапазона адресов.    Хотелось бы логировать факты успешной установки соединений - кто и во сколько Нужно в аксесс-листе, который висит на входе добавить в нужную строку в конце команду log. И еще настройки логгирования logging timestamp logging trap informational Ну а сервер видимо у вас уже настроен logging host INTERFACE X.X.X.X logging facility Y   Этого должно быть достаточно. Всего записей: 36 | Зарегистр. 25-04-2006 | Отправлено: 08:10 25-01-2012 | Исправлено: schukin, 08:11 25-01-2012

slaj1 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Всем доброго времени суток   Есть вопрос, для меня пока не совсем тривиальный сам понимаю, что есть все в документации, но как обычно времени нет, так бы почитал доку и форумы ... буду признателен всем кто откликнется     Исходные данные. Есть cisco asa 5505 (прошивка 8.2(3)), на нее через одного провайдера и через один кабель выдается две белые подсети с маской 255.255.255.248     Задача одна посеть используется давно, другую (точнее один ip другой подсети) нужно заюзать под почтовый сервер (внешний) с первой подсетью все было просто, зарегил ее на 0-м интерфейсе, самому интерфейсу дал первый белый ip, настроил статическую маршрутизацию - все летает, работает   не совсем понимаю как в моем девайсе на один интерфейс завести два ip (уточню, до комм строки в cisco до нужного уровня не дорос, делаю все через ГУЮ, ну почти все) пока сделал все через Ж   перед циской поставил коммутатор, в него воткнул входящий от провайдера кабель в други два порта запитал 0-й порт и 1 порты cisco на 0-м порту все осталось без ихзменений, на 1-й порт назначил белый ip из второй выданной подсети шлюз провайдера 2-й подсети с циски пингуется   меня смущает то, что я глабально настроил маршрутизацию на cisco в которой указано все пакеты на подсеть 0.0.0.0/0.0.0.0 отправляются с 0-го интерфейса на шлюз первой подсети   Вопросы   1. как правильно назначить несколько белых подсетей 2. как разрулить маршрутизацию   буду признателен даже за прямые линки на примеры Всего записей: 913 | Зарегистр. 23-06-2003 | Отправлено: 10:04 02-02-2012

wwladimir Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору slaj1 У меня 515 пикс, но я думаю одинаково. В ASDM-конфигурация-по правой кнопке на нужном физическом интерфейсе-там ADD и заполняете еще один адрес (там же настраиваются Ви-ланы). Затем по моему  в разделе NAT пишите статик с указанием трансляции на нужный адрес, и все. Да, адрес интерфейса не должен совпадать с адресом трансляции.   P.S. В своем ПИКСе настройки не трогал много лет, может что и забыл. Всего записей: 527 | Зарегистр. 08-11-2006 | Отправлено: 10:37 02-02-2012 | Исправлено: wwladimir, 10:40 02-02-2012

slaj1 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору wwladimir спасибо большое, сейчас коллега приедет, бум проверять. получается, что я сделал все правильно.   но были сомнения   если что-то будет не так - отпишусь Всего записей: 913 | Зарегистр. 23-06-2003 | Отправлено: 11:18 02-02-2012

slaj1 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору не пахает, ася почему-то принимает пакеты из второй подсети на первый внешний интерфейс и ругается на это - типа нет разрешающих правил Всего записей: 913 | Зарегистр. 23-06-2003 | Отправлено: 15:10 02-02-2012

schukin Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору slaj1 Если я все правильно понял, то нет необходимости поднимать второй интерфейс и т. п. Настраиваем ip nat трансляцию. static (inside,outside) tcp IP_ADDR_PROVIDER_2 25 IP_ADDR_INSIDE_SMTP_SERVER 25 netmask 255.255.255.255 IP_ADDR_PROVIDER_2  это тот самый адрес на который должны подключаться к почтовику снаружи. IP_ADDR_INSIDE_SMTP_SERVER это адрес сервера на который должны эти подключения перенаправляться. 25 это соответственно smtp порт.   То есть не обязательно, чтобы этот адрес на асе был привязан к интерфейсу. Единственный вопрос - отдаст ли аса свой мак-адрес, когда придет подключение на этот (второй) адрес. Но, думаю, что отдаст в роутерах циско это по-моему называлось proxy-arp, должно и здесь отработать. Короче нужно попробовать. Всего записей: 36 | Зарегистр. 25-04-2006 | Отправлено: 12:50 03-02-2012 | Исправлено: schukin, 12:50 03-02-2012

slaj1 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Доброго времени суток schukin Цитата: Если я все правильно понял, то нет необходимости поднимать второй интерфейс и т. п.   Цитата: Настраиваем ip nat трансляцию.   Настраиваем ip nat трансляцию. static (inside,outside) tcp IP_ADDR_PROVIDER_2 25 IP_ADDR_INSIDE_SMTP_SERVER 25 netmask 255.255.255.255 IP_ADDR_PROVIDER_2  это тот самый адрес на который должны подключаться к почтовику снаружи. IP_ADDR_INSIDE_SMTP_SERVER это адрес сервера на который должны эти подключения перенаправляться. 25 это соответственно smtp порт.   То есть не обязательно, чтобы этот адрес на асе был привязан к интерфейсу. Единственный вопрос - отдаст ли аса свой мак-адрес, когда придет подключение на этот (второй) адрес. Но, думаю, что отдаст в роутерах циско это по-моему называлось proxy-arp, должно и здесь отработать. Короче нужно попробовать.   вроде так и сделал, через public servers в ASDM делал NAT трансляцию, не заработало НО и заработать не могло, т.к. тут еще и с маршрутизацией играться надо, т.к. во второй подсети свой виртуальный шлюз ... от провайдера   НО, мыслю понял, буду играться   ESX091 понял, спасибо большое еще чуть-чуть поиграюсь с настройками  и если ничего не получится выложу конфиг самому хочется разобраться, учитывая, что и время теперь не поджимает, как было 02.02.2012-го       Всего записей: 913 | Зарегистр. 23-06-2003 | Отправлено: 12:17 14-02-2012 | Исправлено: slaj1, 12:18 14-02-2012

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование