форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"NAT на PIX для сети с одним внешним IP"
Сообщение от АБ on 09-Мрт-04, 11:29  (MSK)
Осваиваю сейчас Cisco PIX (ранее работал с Watchguard Firebox) - и наткнулся на проблему, которую не смог разрешить, перерыв кучу литературы и хелпов. Имеется организация, у которой есть <b>один</b> постоянный внешний IP-адрес (допустим, 123.123.123.123). В локальной сети есть почтовый сервер с внутренним адресом (допустим, 192.168.0.100). Как сделать так, чтобы весь трафик, приходящий извне на 25-й порт 123.123.123.123 транслировался на внутренний адрес 192.168.0.100:25 (т.е. MX-запись домена указывает на 123.123.123.123), при этом не нарушая доступ внутренних пользователей в интернет? В Watchguard Firebox это делается элементарно - просто в свойствах SMTP-прокси указывается "Static NAT" 123.123.123.123 -> 192.168.0.100 для входящих соединений. В литературе по Циске PIX и доках мне удалось найти только решение, при котором для создания подобной конфигурации необходим второй IP-адрес (допустим, 123.123.123.124) - делается NAT типа 123.123.123.124 -> 192.168.0.100 {static (inside,outside) 123.123.123.124 192.168.0.100 netmask 255.255.255.255 0 0} и прописывается access-list для входящих по 25 порту {access-list outside_access_in permit tcp host 123.123.123.124 eq smtp host 192.168.0.100 eq smtp}. В связи с этим и вопрос - неужели в Циске PIX невозможно организовать "внутренний" почтовый сервер, если у организации есть только один внешний айпишник? Заранее спасибо за ответ.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "NAT на PIX для сети с одним внешним IP"
Сообщение от ВОЛКА on 09-Мрт-04, 12:57  (MSK)
static (inside,outside) tcp 123.123.123.124 25 192.168.0.100 25 nat (inside) 1 0 0 global (outside) 1 interface
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "NAT на PIX для сети с одним внешним IP"
	Сообщение от АБ on 09-Мрт-04, 14:08  (MSK)
	>static (inside,outside) tcp 123.123.123.124 25 192.168.0.100 25 >nat (inside) 1 0 0 >global (outside) 1 interface Это замечательно - но мой вопрос был именно о том, как реализовать нечто подобное при одном (!) внешнем айпишнике, который имеет организация (в моем примере - 123.123.123.123). А Ваше решение, разумеется, очень хорошо документировано Циской.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "NAT на PIX для сети с одним внешним IP"
	Сообщение от ВОЛКА on 09-Мрт-04, 14:30  (MSK)
	>>static (inside,outside) tcp 123.123.123.124 25 192.168.0.100 25 >>nat (inside) 1 0 0 >>global (outside) 1 interface > >Это замечательно - но мой вопрос был именно о том, как реализовать >нечто подобное при одном (!) внешнем айпишнике, который имеет организация (в >моем примере - 123.123.123.123). А Ваше решение, разумеется, очень хорошо документировано >Циской. это аналогично вашему.... В Watchguard Firebox это делается элементарно - просто в свойствах SMTP-прокси указывается "Static NAT" 123.123.123.123 -> 192.168.0.100 для входящих соединений. В литературе по Циске PIX и доках мне удалось найти только решение, при котором для создания подобной конфигурации необходим второй IP-адрес (допустим, 123.123.123.124) - делается NAT типа 123.123.123.124 -> 192.168.0.100
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.