forum.opennet.ru - "cisco pix 506+особенный доступ с 1 ip" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"cisco pix 506+особенный доступ с 1 ip"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"cisco pix 506+особенный доступ с 1 ip"
Сообщение от kontrol (ok) on 30-Сен-07, 22:46
есть cisco pix 506e, смотрит в инет и локалку, всё как надо. внеший адрес a.а.а.а, внутренний b.b.b.b в локалке стоит web-сервер с поднятым ssl, его адрес w.w.w.w в пиксе прописано правило допуска к этому серверу: access-list 100 permit tcp any interface outside eq 443 access-group 100 in interface outside static (inside,outside) tcp interface 443 w.w.w.w 443 netmask 255.255.255.255 0 0 и всё прекрасно работает, доступ со всех хостов к https://а.а.а.а есть, попадаем на внутренний сервак w.w.w.w. внимание, уважаемые Знатоки, вопросы: 1. как сделать, чтобы при обращении с одного особенного внешнего адреса d.d.d.d к https://а.а.а.а, пакеты приходили к другому серверу в той же локалке, например e.e.e.e ? 2. как сделать, чтобы при обращении к https://а.а.а.а с другого особенного внешнего адреса f.f.f.f , открывался не пресловутый внутренний web-сервер, а интерфейс управления этим самым cisco pix?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

cisco pix 506+особенный доступ с 1 ip, lomo, 11:14 , 01-Окт-07, (1)

cisco pix 506+особенный доступ с 1 ip, bmonk, 15:32 , 14-Фев-08, (3)

cisco pix 506+особенный доступ с 1 ip, lomo, 17:11 , 14-Фев-08, (4)

cisco pix 506+особенный доступ с 1 ip, intellegent, 11:35 , 01-Окт-07, (2)

cisco pix 506+особенный доступ с 1 ip, IgorB, 17:40 , 07-Июн-08, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "cisco pix 506+особенный доступ с 1 ip"

Сообщение от lomo on 01-Окт-07, 11:14

>
> 1. как сделать, чтобы при обращении с одного особенного внешнего адреса
> d.d.d.d к https://а.а.а.а, пакеты приходили к другому серверу в той же локалке,
> например e.e.e.e ?
static NAT можно сделать "условным" - получается типа
policy nat:
static (inside,outside) 192.168.117.10 access-list nat-office2_23-cust-0857 0 0
Это точно работает на 7.2(2). Но 7.2(2) не будет работать на 506e..
> 2. как сделать, чтобы при обращении к https://а.а.а.а с другого особенного внешнего адреса f.f.f.f ,
> открывался не пресловутый внутренний web-сервер, а интерфейс управления этим самым cisco pix
Вы лучше задачу поменяйте (и первую тоже). Откройте, например, ssh на PIX, выучите командную строку :)
Или поднимите VPN.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "cisco pix 506+особенный доступ с 1 ip"

Сообщение от bmonk (ok) on 14-Фев-08, 15:32

>[оверквотинг удален]
>
>Это точно работает на 7.2(2). Но 7.2(2) не будет работать на 506e..
>
>
>> 2. как сделать, чтобы при обращении к https://а.а.а.а с другого особенного внешнего адреса f.f.f.f ,
>> открывался не пресловутый внутренний web-сервер, а интерфейс управления этим самым cisco pix
>
>Вы лучше задачу поменяйте (и первую тоже). Откройте, например, ssh на PIX,
>выучите командную строку :)
>Или поднимите VPN.
как откррыть ssh
помогите пожалуйста

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "cisco pix 506+особенный доступ с 1 ip"

Сообщение от lomo on 14-Фев-08, 17:11

На каком интерфейсе?
из какой сети?
В доке поиск по "ssh" делали?

Пример:
открываем доступ по ssh на внутреннем интерфейса для сети 10.23.14.0/255.255.255.0
pix(config)#ssh 10.23.14.0 255.255.255.0 inside

Если предположить что внутренний IP адрес ПИКСа на интерфейсе inside - 10.23.14.1, то
доступаться с машины из сети 10.23.14.0/255.255.255.0 так:
$ ssh pix@10.23.14.1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "cisco pix 506+особенный доступ с 1 ip"

Сообщение от intellegent on 01-Окт-07, 11:35

По протам разводить надо, т.е. https на сервере e.e.e.e должен слушать порт, отличный от 443 ну и соответствующую запись static делать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "cisco pix 506+особенный доступ с 1 ip"

Сообщение от IgorB on 07-Июн-08, 17:40

И все-таки, поставленная задача имеет решение на Cisco PIX 506E с прошивкой 6.3, или нет? Вариант разведения по портам не подходит, т.к. портов много, и заставлять кого-то помнить кучу нестандартных портов для обращения к стандартным сервисам - не получится.
Решение с ACL в команде static не получилось. Потому что выходит, что надо ввести две команды static, ссылающиеся хоть и на разные ассеss-list, но на один внешний IP. А это не получается, появляется ругань на дублирование.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "cisco pix 506+особенный доступ с 1 ip"
Сообщение от lomo on 01-Окт-07, 11:14
> > 1. как сделать, чтобы при обращении с одного особенного внешнего адреса > d.d.d.d к https://а.а.а.а, пакеты приходили к другому серверу в той же локалке, > например e.e.e.e ? static NAT можно сделать "условным" - получается типа policy nat: static (inside,outside) 192.168.117.10 access-list nat-office2_23-cust-0857 0 0 Это точно работает на 7.2(2). Но 7.2(2) не будет работать на 506e.. > 2. как сделать, чтобы при обращении к https://а.а.а.а с другого особенного внешнего адреса f.f.f.f , > открывался не пресловутый внутренний web-сервер, а интерфейс управления этим самым cisco pix Вы лучше задачу поменяйте (и первую тоже). Откройте, например, ssh на PIX, выучите командную строку :) Или поднимите VPN.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "cisco pix 506+особенный доступ с 1 ip"
	Сообщение от bmonk (ok) on 14-Фев-08, 15:32
	>[оверквотинг удален] > >Это точно работает на 7.2(2). Но 7.2(2) не будет работать на 506e.. > > >> 2. как сделать, чтобы при обращении к https://а.а.а.а с другого особенного внешнего адреса f.f.f.f , >> открывался не пресловутый внутренний web-сервер, а интерфейс управления этим самым cisco pix > >Вы лучше задачу поменяйте (и первую тоже). Откройте, например, ssh на PIX, >выучите командную строку :) >Или поднимите VPN. как откррыть ssh помогите пожалуйста
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "cisco pix 506+особенный доступ с 1 ip"
	Сообщение от lomo on 14-Фев-08, 17:11
	На каком интерфейсе? из какой сети? В доке поиск по "ssh" делали? Пример: открываем доступ по ssh на внутреннем интерфейса для сети 10.23.14.0/255.255.255.0 pix(config)#ssh 10.23.14.0 255.255.255.0 inside Если предположить что внутренний IP адрес ПИКСа на интерфейсе inside - 10.23.14.1, то доступаться с машины из сети 10.23.14.0/255.255.255.0 так: $ ssh pix@10.23.14.1
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "cisco pix 506+особенный доступ с 1 ip"
Сообщение от intellegent on 01-Окт-07, 11:35
По протам разводить надо, т.е. https на сервере e.e.e.e должен слушать порт, отличный от 443 ну и соответствующую запись static делать.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "cisco pix 506+особенный доступ с 1 ip"
	Сообщение от IgorB on 07-Июн-08, 17:40
	И все-таки, поставленная задача имеет решение на Cisco PIX 506E с прошивкой 6.3, или нет? Вариант разведения по портам не подходит, т.к. портов много, и заставлять кого-то помнить кучу нестандартных портов для обращения к стандартным сервисам - не получится. Решение с ACL в команде static не получилось. Потому что выходит, что надо ввести две команды static, ссылающиеся хоть и на разные ассеss-list, но на один внешний IP. А это не получается, появляется ругань на дублирование.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]