- PIX501 = не могу добиться коннекта между внешним и внутренни...,
 Volume, 12:42 , 15-Окт-03 (1)>PIX501 = не могу настроить коннект между внешним и внутренним MSExch.
>кто-нить помогите! не получается у меня организовать static соединение и усе (и
>хоть ты тресни...).
>по мануалам все, вроде бы, верно, но не переадресовывает пакеты с внешнего
>на внутренний... У меня уже истерика, плавно перерастающая в панику надо о чем то догадаться? а может стоит конфиг показать?
- PIX501 = не могу добиться коннекта между внешним и внутренни..., GU, 13:34 , 15-Окт-03 (2)
Building configuration...
: Saved
:
PIX Version 6.2(2)
nameif ethernet0 outside security0
nameif ethernet1 inside security100fixup protocol http 80
fixup protocol smtp 25
no fixup protocol ftp 21
no fixup protocol h323 h225 1720
no fixup protocol h323 ras 1718-1719
no fixup protocol ils 389
no fixup protocol rsh 514
no fixup protocol rtsp 554
no fixup protocol sip 5060
no fixup protocol skinny 2000
no fixup protocol sqlnet 1521
names object-group network Exch_In_Server
network-object 192.168.X.XXX 255.255.255.255
object-group network Exch_Out_Server
network-object 2YY.YYY.YYY.YYY 255.255.255.255 access-list inside_access_in permit udp object-group acl_permit_in any
access-list inside_access_in permit tcp object-group acl_permit_in any
access-list outside_access_in permit tcp host 2YY.YYY.YYY.YYY host XXX.XXX.XXX.XXX pager lines 24 interface ethernet0 10baset
interface ethernet1 10full
mtu outside 1500
mtu inside 1500
ip address outside внешнийIP 255.255.255.252
ip address inside внутреннийIp 255.255.255.0 arp timeout 14400
global (outside) 2 interface
global (outside) 3 XXX.XXX.XXX.XXX nat (inside) 2 192.168.X.0 255.255.255.0 0 0
static (inside,outside) XXX.XXX.XXX.XXX 192.168.X.XXX netmask 255.255.255.255 0 0
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside route outside 0.0.0.0 0.0.0.0 ZZZ.ZZZ.ZZZ.ZZZ 1 timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps : end
[OK]
вообщем такие вот пирожные.
транслируемый IPшник ХХХ.ХХХ.ХХХ.ХХХ принадлежит внеешней подсети.
если прописать вместо него IPвнешнего интервейса, то он (PIX) никого из внутренней, тогда во внешнюю сеть не пускает, кроме 192.168.Х.ХХХ хоста.
- PIX501 = не могу добиться коннекта между внешним и внутренни..., Volume, 21:38 , 15-Окт-03 (3)
- PIX501 = не могу добиться коннекта между внешним и внутренни..., GU, 10:54 , 16-Окт-03 (4)
>зачем вам обджект-группы-то там, а??
>
>>global (outside) 3 XXX.XXX.XXX.XXX
>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>вот эта строка зачем вообще? уберите ее...
>
>вот пример:
>http://www.cisco.com/warp/public/110/mailserver_in.html
>
>и аксесс-листы проверьте еще раз пусть Вас обжект-группы не смущают. (в выложенной конфигурации я потер аксес-листы за ненадобностью) global (outside) 3 XXX.XXX.XXX.XXX - думал еще один пул организовать.
(не получилось) удалил.
у меня такой вопрос:
на схеме (http://www.cisco.com/warp/public/110/mailserver_in.gif)
внутренний MailServer светит IPшником 209.164.3.5 !?! откуда он !?! у меня такая ситуация: роутер B принадлежит ISP (доступа к нему у меня нет)
На пиксе прописал следующее:
static (inside,outside) tcp IPвнешнегоИнтерфейса smtp ВнутреннийIPЕxch smtp netmask 255.255.255.255 0 0
static (inside,outside) tcp IPвнешнегоИнтерфейса pop3 ВнутреннийIPЕxch pop3 netmask 255.255.255.255 0 0
т.е. PIX по 25 и 110 пропускает внутрь а отклика с Майл_сервера нету.
- PIX 501 = одни вопросы, GU, 11:39 , 16-Окт-03 (5)
1. Можно на пиксе сделать акссес-листы не с апишниками а с MAC адресами?
чтобы избежать подмену IP?
2. Вопрос по авторизации пользователей по Tacacs+. Можно ли сервер авторизации на NT поднять или только на Unix платформе?
- PIX 501 = одни вопросы, Volume, 13:30 , 16-Окт-03 (6)
>1. Можно на пиксе сделать акссес-листы не с апишниками а с MAC
>адресами?
>чтобы избежать подмену IP?
>2. Вопрос по авторизации пользователей по Tacacs+. Можно ли сервер авторизации на
>NT поднять или только на Unix платформе? 1. не знаю, читайте доки
2. можно 3. 209.164.3.5 - я не знаю что это за адрес, у вас в конфиге одни иксы и игреки, в которых хрен разберешься откройте на ваш сервер для начала не тцп а весь ип и посмотрите
и вообще, полный конфиг давать надо...
- PIX 501 = одни вопросы, GU, 13:56 , 16-Окт-03 (7)
>откройте на ваш сервер для начала не тцп а весь ип и
>посмотрите
>и вообще, полный конфиг давать надо... открывал я весь IP.
тогда у меня никто в инет не может выйти.
весь трафик перенаправляется на майл_сервер. а за ссылку спасиб огромный.
- PIX 501 = одни вопросы, GU, 16:58 , 16-Окт-03 (8)
2 Volumeплиз. дай ссылку на доки по такакс+
c меня тоды:
____
|.........|
|Pivo.|_
|~~~~|.|
|~~~~|/
|____|
- PIX 501 = одни вопросы, Volume, 21:29 , 16-Окт-03 (9)
- PIX 501 = одни вопросы, GU, 16:03 , 20-Окт-03 (10)
О Великие ГУРУ!!!!
кто сталкивался и знает??!!!??можно ли на пиксе организовать static соединение через апишник внешнего интерфейса и одновременно dinamic через него организовать. NAT при static не работает!!!
ISP дал тока один IP! на второй у меня енотовзеленых нет! голову вторую неделю ломаю = скоро пикс к стене прибью 501м гвозьдем!
- PIX 501 = одни вопросы, Tim, 16:20 , 24-Окт-03 (11)
Можно организовать static PAT, например
static (inside, outside) tcp global-ip %port-num% local-ip %port-num%
и после этого использовать этот же адрес для исходящего PATа.В command reference - для команды static, все расписано.
- PIX 501 = одни вопросы, ВОЛКА, 17:23 , 24-Окт-03 (12)
посмотрите
на online.comptek.ru тоже самое спрашивали
|
Версия для распечатки
PIX501 = не могу добиться коннекта между внешним и внутренни..., 
