- Cisco PIX 515E Firewall,
 Volume, 23:04 , 06-Сен-03 (1)>Народ, требуется помощь... существует subj ( Cisco PIX Firewall ). На внешнем
>ethernet0 поднята сеть x.x.1.2 netmask 255.255.255.252 и поднят дефолт x.x.1.1, на
>ethernet1 ( по причине наличия серверов с реальными адресами под Windows
>2000 Advanced Server ) поднята сеть x.x.2.2 netmask 255.255.255.128 но ни
>с одного адреса x.x.2.N я не могу получить доступа наружу через
>циску.. она умеет это дело делать ? или она только скрывает
>внутреннюю сеть и выпускает ее через НАТ... если умеет, народ подскажите
>или скиньте более менее подробный конфиг.. заранее спасибо...
ну хотябы sh run или wr t для начала, а? и еще бы sh ver не помешало бы
или может кто-нибудь телепатией увлекается? :))
- Cisco PIX 515E Firewall, eagla, 05:57 , 08-Сен-03 (2)
>
>или может кто-нибудь телепатией увлекается? :))
телепатия телепатией ;) но представь, что нужно с нуля все добавить;)
хотя может это не уменя глюки. но в общем примерно следующее
ip address outside 1.2.3.2 255.255.255.252
ip address inside 2.3.4.2 255.255.255.128
route outside 0.0.0.0 0.0.0.0 1.2.3.1 1
внутри адреса 2.3.4.1 , 2.3.4.3 и т.д.
- Cisco PIX 515E Firewall, Volume, 15:57 , 08-Сен-03 (3)
>>
>>или может кто-нибудь телепатией увлекается? :))
>телепатия телепатией ;) но представь, что нужно с нуля все добавить;)
>хотя может это не уменя глюки. но в общем примерно следующее
>ip address outside 1.2.3.2 255.255.255.252
>ip address inside 2.3.4.2 255.255.255.128
>route outside 0.0.0.0 0.0.0.0 1.2.3.1 1
>внутри адреса 2.3.4.1 , 2.3.4.3 и т.д. вы наверное не понимаете конфиг покажите, еще раз прошу
- Cisco PIX 515E Firewall, eagla, 05:30 , 09-Сен-03 (5)
>конфиг покажите, еще раз прошу
извиняюсь... вот конфиг
PIX Version 6.1(4)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
name x.x.87.9 router
access-list outside_access_in permit ip any x.x.89.0 255.255.255.128
access-list inside_access_in permit ip x.x.89.0 255.255.255.128 any
pager lines 24
logging on
logging monitor warnings
interface ethernet0 auto
interface ethernet1 auto
icmp permit any outside
icmp permit any inside
mtu outside 1500
mtu inside 1500
ip address outside x.x.87.10 255.255.255.252
ip address inside x.x.89.2 255.255.255.128
ip audit info action alarm
ip audit attack action alarm
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
rip inside default version 1
route outside 0.0.0.0 0.0.0.0 router 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
http server enable
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat
мне сказали, что нужно, что то типа следующего
снутри наружу оно будет выходить, так как есть с клиента
подтверждение запроса, а чтобы снаружи попадало внутрь
надо писать разрешающие правила..
- Cisco PIX 515E Firewall, ВОЛКА, 10:10 , 09-Сен-03 (7)
а где статические трансляции...?
- Cisco PIX 515E Firewall, eagla, 10:14 , 09-Сен-03 (8)
>а где статические трансляции...? мне нат не нужен...
мне нужен реальный доступ через пиксу на реальные адреса внутрь сети...
или про что речь ?
если я не прав, то что надо сделать?
- Cisco PIX 515E Firewall, ВОЛКА, 10:43 , 09-Сен-03 (10)
вот и пишешь....реальный адрес в реальный адрес....
- Cisco PIX 515E Firewall, eagla, 11:20 , 09-Сен-03 (11)
>вот и пишешь....
>
>реальный адрес в реальный адрес....
static (inside,outside) x.x.89.2 x.89.2 ?
access-list OUTSIDE-IN permit ip host 2.2.2.1 host 2.2.2.1
access-group OUTSIDE-IN in interface outside
так ?
- Cisco PIX 515E Firewall, IFoxI, 20:10 , 08-Сен-03 (4)
Вообще, PIX енто не роутер ;)
попробуй команду: nat 0 (или что-то вроде того, ща точно не помню) в режиме конфига.
и еще если подсеть на inside не одна, то делай дефаулт и внутрь
- Cisco PIX 515E Firewall, eagla, 05:33 , 09-Сен-03 (6)
>Вообще, PIX енто не роутер ;)
>попробуй команду: nat 0 (или что-то вроде того, ща точно не помню)
>в режиме конфига.
>и еще если подсеть на inside не одна, то делай дефаулт и
>внутрь а я слышал следующее:
при отсутствии НАТ ( что у меня )
трафик пропускается следующим образом:
- пришедшее в inside интерфейс пропускается в outside интерфейс;
- пришедшее в outside интерфейс пропускается в inside интерфейс только в том
случае, если перед этим из inside в outside приходил трафик, который PIX
расценивает как установление соединения му адресами в inside сети и outside
сети.
Если нужно, чтобы какие-то соединения устанавливались из outside сети в
inside, то пишешь access-list для outside интерфейса.
- Cisco PIX 515E Firewall, IFoxI, 10:15 , 09-Сен-03 (9)
>а я слышал следующее:
>при отсутствии НАТ ( что у меня )
>трафик пропускается следующим образом:
>- пришедшее в inside интерфейс пропускается в outside интерфейс;
>- пришедшее в outside интерфейс пропускается в inside интерфейс только в том
>
> случае, если перед этим из inside в outside приходил трафик,
>который PIX
> расценивает как установление соединения му адресами в inside сети и
>outside
> сети.
Так все и есть, что с nat, что без него - это принцип прохождения трафика с высокосекьюрного интерфейса на низкий (nameif ethernet1 inside security100 -> nameif ethernet0 outside security0) и наоборот!
>Если нужно, чтобы какие-то соединения устанавливались из outside сети в
> inside, то пишешь access-list для outside интерфейса.
Типа того ;) и не забудь трасляции static (inside, outside) ...ты напиши: nat (inside) 0 x.x.89.0 0.0.0.127
- Cisco PIX 515E Firewall, Volume, 12:30 , 09-Сен-03 (14)
не надо "слышать", надо документацию читать.
- Cisco PIX 515E Firewall, eagla, 12:32 , 09-Сен-03 (15)
>не надо "слышать", надо документацию читать. после общения с народом , я вижу две разных идеи реализации одного и тогоже, они читали разную документацию чтоли?;)
- Cisco PIX 515E Firewall, Volume, 14:05 , 09-Сен-03 (16)
>>не надо "слышать", надо документацию читать.
>
>после общения с народом , я вижу две разных идеи реализации одного
>и тогоже, они читали разную документацию чтоли?;) а вот это вы поймете только прочитав документацию :)
- Cisco PIX 515E Firewall, eagla, 15:21 , 09-Сен-03 (17)
>>>не надо "слышать", надо документацию читать.
>>
>>после общения с народом , я вижу две разных идеи реализации одного
>>и тогоже, они читали разную документацию чтоли?;)
>
>а вот это вы поймете только прочитав документацию :)
А у вас случайно на русском нету последней??? а то у меня итак море информации на английском;) не успеваю читать;)
- Cisco PIX 515E Firewall, A Clockwork Orange, 21:45 , 09-Сен-03 (19)
>>>>не надо "слышать", надо документацию читать.
>>>
>>>после общения с народом , я вижу две разных идеи реализации одного
>>>и тогоже, они читали разную документацию чтоли?;)
>>
>>а вот это вы поймете только прочитав документацию :)
>
>
>А у вас случайно на русском нету последней??? а то у меня
>итак море информации на английском;) не успеваю читать;) Подкинь
- Cisco PIX 515E Firewall, Volume, 21:51 , 09-Сен-03 (20)
- Cisco PIX 515E Firewall, A Clockwork Orange, 21:55 , 09-Сен-03 (21)
VolumeТут прозвучало что PIX не маршрутизатор.
Он действительно лишен функции маршрутизатора, только фильтрует и натит?
Если у него три интерфейса, он не может в зависимости от пакета посылать его в разные интерфейсы?
- Cisco PIX 515E Firewall, A Clockwork Orange, 22:01 , 09-Сен-03 (22)
И откуда ты все знаешь, как искать...
- Cisco PIX 515E Firewall, Volume, 22:23 , 09-Сен-03 (23)
>И откуда ты все знаешь, как искать... да, может
с версии 6.3 он еще может ospf, route maps, dot1q во первых на сайте есть закладки типа www.cisco.com/go/pix, www.cisco.com/go/3550
во вторых, цискин сайт постороен до определенной и довольно четкой концепции, понять ее - и найдется все
в третьих - я там каждый день просиживаю часов по 5 :)
- Cisco PIX 515E Firewall, Ldar, 12:36 , 17-Сен-03 (24)
>>И откуда ты все знаешь, как искать...
>
>да, может
>с версии 6.3 он еще может ospf, route maps, dot1q
>
>во первых на сайте есть закладки типа www.cisco.com/go/pix, www.cisco.com/go/3550
>во вторых, цискин сайт постороен до определенной и довольно четкой концепции, понять
>ее - и найдется все
>в третьих - я там каждый день просиживаю часов по 5 :)
>Хых ... кем ты работаешь если не секрет, что 5 часов в инете в течении рабочего дня для тебя не проблема ? ;-) Чесно признаюсь завидно ... ;-)) PS: ничего плохого конечно я не имел ввиду ;-) - Cisco PIX 515E Firewall, Volume, 15:16 , 17-Сен-03 (25)
в смысле кем? инженером. А инет это рабочий инструмент.
- Cisco PIX 515E Firewall, Ldar, 16:23 , 17-Сен-03 (26)
>в смысле кем? инженером. А инет это рабочий инструмент. Хорошо что у вас есть столько времени на повышение уровня знаний да еще в рабочее время ...
Я давно просматриваю данный форум ... и наблюдаю за поведением участников. Есть постоянные есть приходящие уходящие ...
Вопрос вам, как специалисту, и человеку, часто посещающему cisco.com:
есть у меня недоразумение с версиями IOS ... точнее непонятно мне кое что ...
У меня есть кошка 827-4v:
sh ver Cisco Internetwork Operating System Software
IOS (tm) C820 Software (C820-NSV6Y6-M), Version 12.2(2)T4, RELEASE SOFTWARE (fc3)
TAC Support: http://www.cisco.com/tac
Copyright (c) 1986-2002 by cisco Systems, Inc.
Compiled Sun 10-Feb-02 01:10 by yiyan
Image text-base: 0x80013170, data-base: 0x808A634C ROM: System Bootstrap, Version 12.2(1r)XE2, RELEASE SOFTWARE (fc1) taurus uptime is 17 weeks, 3 days, 7 hours, 8 minutes
System returned to ROM by power-on
System image file is "flash:c820-nsv6y6-mz.122-2.T4.bin" CISCO C827-4V (MPC855T) processor (revision 0xD01) with 23552K/1024K bytes of memory.
Processor board ID JAD063100PN (1268442241), with hardware revision 0000
CPU rev number 5
Bridging software.
4 POTS Ports
1 Ethernet/IEEE 802.3 interface(s)
1 ATM network interface(s)
128K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read/Write) Configuration register is 0x2102 немагу найти описание 12.2(2)T4 ....
неподскажете где можно найти ?
нашел кучу релизов версии 12.2 ... но именно такой нет ;-(
буду признателен6 если укажете...
- Cisco PIX 515E Firewall, ВОЛКА, 00:47 , 18-Сен-03 (27)
- Cisco PIX 515E Firewall, Ldar, 06:18 , 18-Сен-03 (28)
- Cisco PIX 515E Firewall, Ldar, 08:16 , 18-Сен-03 (29)
|
Версия для распечатки
Cisco PIX 515E Firewall, 
