форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Помогите чайнику с PIX-ом !"
Сообщение от Dima (??) on 13-Сен-04, 17:49  (MSK)
Конфиг IX Version 6.3(1) interface ethernet0 10full interface ethernet1 100full interface ethernet2 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security50 ip address outside 213.137.xxx.xxx 255.255.255.128 ip address inside 192.168.0.9 255.255.255.252 ip address dmz 172.16.1.1 255.255.255.0 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 0 0 nat (dmz) 1 0.0.0.0 0.0.0.0 0 0 route outside 0.0.0.0 0.0.0.0 213.137.xxx.xxx 1     Необходимо сделать FTP доступ из DMZ с адреса 172.16.1.2     в INSIDE на адрес 192.168.0.10.     Сам пробовал сделать ничего не получается.          Благодарю за помощь.             Дмитрий.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Помогите чайнику с PIX-ом !"
Сообщение от ВОЛКА on 14-Сен-04, 00:43  (MSK)
static(indide, dmz) 192.168.0.10 192.168.0.10 access-list DMZ-IN permit tcp host 172.16.1.2 host 192.168.0.10 eq ftp access-list DMZ-IN permit tcp host 172.16.1.2 host 192.168.0.10 eq ftp-data access-list DMZ-IN deny ip 172.16.1.1 255.255.255.0 192.168.0.9 255.255.255.252 access-list DMZ-IN permit ip 172.16.1.1 255.255.255.0 any
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Помогите чайнику с PIX-ом !"
	Сообщение от Dima (??) on 14-Сен-04, 09:29  (MSK)
	>static(indide, dmz) 192.168.0.10 192.168.0.10 >access-list DMZ-IN permit tcp host 172.16.1.2 host 192.168.0.10 eq ftp >access-list DMZ-IN permit tcp host 172.16.1.2 host 192.168.0.10 eq ftp-data   Следующие две команды не проходят, ругается что не может быть такого   172.16.1.1 и маска 255.255.255.0   И если не трудно поясните, для чего нужны эти две команды >access-list DMZ-IN deny ip 172.16.1.1 255.255.255.0 192.168.0.9 255.255.255.252 >access-list DMZ-IN permit ip 172.16.1.1 255.255.255.0 any   Спасибо.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Помогите чайнику с PIX-ом !"
	Сообщение от sh_ (??) on 14-Сен-04, 10:04  (MSK)
	A ti postav' vmesto 255.255.255.0 - 0.0.0.255, a vmesto 255.255.255.252 - 0.0.0.3. :))) I esche ne zabivaem, chto v kontse kazhdogo access-list stoit neyavnoe pravilo deny ip any any. :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Помогите чайнику с PIX-ом !"
	Сообщение от ВОЛКА on 14-Сен-04, 10:07  (MSK)
	НЕ ПУТАЙТЕ PIX C ROUTER'ом!!!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Помогите чайнику с PIX-ом !"
	Сообщение от ВОЛКА on 14-Сен-04, 10:08  (MSK)
	>access-list DMZ-IN deny ip 172.16.1.0 255.255.255.0 192.168.0.8 255.255.255.252 >access-list DMZ-IN permit ip 172.16.1.0 255.255.255.0 any
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Помогите чайнику с PIX-ом !"
	Сообщение от Dima (??) on 14-Сен-04, 10:30  (MSK)
	>>access-list DMZ-IN deny ip 172.16.1.0 255.255.255.0 192.168.0.8 255.255.255.252 >>access-list DMZ-IN permit ip 172.16.1.0 255.255.255.0 any Вот все что стоит на DMZ access-list acl_dmz; 7 elements access-list acl_dmz line 1 permit icmp any any (hitcnt=0) access-list acl_dmz line 2 permit udp host 172.16.1.2 any eq domain (hitcnt=4) access-list acl_dmz line 3 permit tcp host 172.16.1.2 any eq www (hitcnt=0) access-list acl_dmz line 4 permit tcp host 172.16.1.2 host 192.168.0.10 eq ftp (hitcnt=3) access-list acl_dmz line 5 permit tcp host 172.16.1.2 host 192.168.0.10 eq ftp-data (hitcnt=0) access-list acl_dmz line 6 deny ip 172.16.1.0 255.255.255.0 192.168.0.8 255.255. 255.252 (hitcnt=0) access-list acl_dmz line 7 permit ip 172.16.1.0 255.255.255.0 any (hitcnt=0)   Попытки выполнить на 172.16.1.2 команду ftp 192.168.0.10   заканчиваются connection time out   Мне кажется от 192.168.0.10 ничего не приходит, я этот комп даже пингануть не могу из DMZ.   Может как-то сказываться на этом, то что у меня прописано   nat (dmz) 1 0.0.0.0 0.0.0.0 ? потому как выхожу из DMZ в Internet,   конфиг в первом письме.   Что дальше делать?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Помогите чайнику с PIX-ом !"
	Сообщение от Dima (??) on 14-Сен-04, 10:34  (MSK)
	>>>access-list DMZ-IN deny ip 172.16.1.0 255.255.255.0 192.168.0.8 255.255.255.252 >>>access-list DMZ-IN permit ip 172.16.1.0 255.255.255.0 any > >Вот все что стоит на DMZ > >access-list acl_dmz; 7 elements >access-list acl_dmz line 1 permit icmp any any (hitcnt=0) >access-list acl_dmz line 2 permit udp host 172.16.1.2 any eq domain (hitcnt=4) > >access-list acl_dmz line 3 permit tcp host 172.16.1.2 any eq www (hitcnt=0) > >access-list acl_dmz line 4 permit tcp host 172.16.1.2 host 192.168.0.10 eq ftp >(hitcnt=3) >access-list acl_dmz line 5 permit tcp host 172.16.1.2 host 192.168.0.10 eq ftp-data >(hitcnt=0) >access-list acl_dmz line 6 deny ip 172.16.1.0 255.255.255.0 192.168.0.8 255.255. >255.252 (hitcnt=0) >access-list acl_dmz line 7 permit ip 172.16.1.0 255.255.255.0 any (hitcnt=0) > >  Попытки выполнить на 172.16.1.2 команду ftp 192.168.0.10 >  заканчиваются connection time out >  Мне кажется от 192.168.0.10 ничего не приходит, я этот комп >даже пингануть не могу из DMZ. >  Может как-то сказываться на этом, то что у меня прописано > >  nat (dmz) 1 0.0.0.0 0.0.0.0 ? потому как выхожу из >DMZ в Internet, >  конфиг в первом письме. >  Что дальше делать?   Вот что есть на INSIDE access-list acl_ins; 3 elements access-list acl_ins line 1 permit icmp any any (hitcnt=0) access-list acl_ins line 2 permit tcp host 192.168.0.10 any eq www (hitcnt=866) access-list acl_ins line 3 permit tcp host 192.168.0.10 any eq https (hitcnt=15
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Помогите чайнику с PIX-ом !"
	Сообщение от ВОЛКА on 14-Сен-04, 10:41  (MSK)
	весь конфиг покажите...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Помогите чайнику с PIX-ом !"
	Сообщение от Dima (??) on 14-Сен-04, 10:55  (MSK)
	>>>access-list DMZ-IN deny ip 172.16.1.0 255.255.255.0 192.168.0.8 255.255.255.252 >>>access-list DMZ-IN permit ip 172.16.1.0 255.255.255.0 any > >Вот все что стоит на DMZ > >access-list acl_dmz; 7 elements >access-list acl_dmz line 1 permit icmp any any (hitcnt=0) >access-list acl_dmz line 2 permit udp host 172.16.1.2 any eq domain (hitcnt=4) > >access-list acl_dmz line 3 permit tcp host 172.16.1.2 any eq www (hitcnt=0) > >access-list acl_dmz line 4 permit tcp host 172.16.1.2 host 192.168.0.10 eq ftp >(hitcnt=3) >access-list acl_dmz line 5 permit tcp host 172.16.1.2 host 192.168.0.10 eq ftp-data >(hitcnt=0) >access-list acl_dmz line 6 deny ip 172.16.1.0 255.255.255.0 192.168.0.8 255.255. >255.252 (hitcnt=0) >access-list acl_dmz line 7 permit ip 172.16.1.0 255.255.255.0 any (hitcnt=0) > >  Попытки выполнить на 172.16.1.2 команду ftp 192.168.0.10 >  заканчиваются connection time out >  Мне кажется от 192.168.0.10 ничего не приходит, я этот комп >даже пингануть не могу из DMZ. >  Может как-то сказываться на этом, то что у меня прописано > >  nat (dmz) 1 0.0.0.0 0.0.0.0 ? потому как выхожу из >DMZ в Internet, >  конфиг в первом письме. >  Что дальше делать?    Всё разобрался. Вот этого достаточно на DMZ access-list acl_dmz; 5 elements access-list acl_dmz line 1 permit icmp any any (hitcnt=60) access-list acl_dmz line 2 permit udp host 172.16.1.2 any eq domain (hitcnt=11) access-list acl_dmz line 3 permit tcp host 172.16.1.2 any eq www (hitcnt=0) access-list acl_dmz line 4 permit tcp host 172.16.1.2 host 192.168.0.10 eq ftp (hitcnt=7) access-list acl_dmz line 5 permit tcp host 172.16.1.2 host 192.168.0.10 eq ftp-d ata (hitcnt=0) 5 line даже не нужна, извините что всех запарил, просто на 192.168.0.10 стоит microsoft isa ( такое фуфло, слов нет), на котором фильтры надо было настроить.   Спасибо.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.