forum.opennet.ru - "Проблема с доступом к своему серверу через Pix 525" (2)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Проблема с доступом к своему серверу через Pix 525"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Проблема с доступом к своему серверу через Pix 525"
Сообщение от dtep (ok) on 15-Дек-04, 14:15 (MSK)
Здравствуйте! Имеется PIX 525, веб и прокси/ДНС сервера. Решил переместить веб сервер в ДМЗ-зону. По примерам конфигурации с цисковского сайта все настроил, все замечательно. Но есть одна проблема: я не могу зайти на веб сервер по реальному адресу из внутренней сети если использую в качестве шлюза пикс (все компы ходят через прокси с двумя интерфейсами). В логах пикса начинают сыпаться сообщения о Land attack. Подскажите, как правильно реализовать данный способ выхода? Кусок конфига: nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security50 ip address outside <Real-IP> 255.255.255.248 ip address inside 10.150.10.112 255.255.255.0 ip address dmz 10.150.150.112 255.255.255.0 access-list www permit tcp any host <Real-web-ip> eq www access-list nat-out permit ip host 10.150.10.37 any global (outside) 1 <Real-NAT addr> nat (inside) 1 access-list nat-out 0 0 static (dmz,outside) <Real-web-ip> 10.150.150.91 netmask 255.255.255.255 0 0 access-group www in interface outside Заранее благодарю за помощь! Дмитрий
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Проблема с доступом к своему серверу через Pix 525, sh_, 10:25 , 16-Дек-04, (1)
- Проблема с доступом к своему серверу через Pix 525, Nailer, 10:51 , 16-Дек-04, (2)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Проблема с доступом к своему серверу через Pix 525"

Сообщение от sh_ (??) on 16-Дек-04, 10:25  (MSK)

>Здравствуйте!
>Имеется PIX 525, веб и прокси/ДНС сервера. Решил переместить веб сервер в
>ДМЗ-зону. По примерам конфигурации с цисковского сайта все настроил, все замечательно.
>Но есть одна проблема: я не могу зайти на веб сервер
>по реальному адресу из внутренней сети если использую в качестве шлюза
>пикс (все компы ходят через прокси с двумя интерфейсами). В логах
>пикса начинают сыпаться сообщения о Land attack. Подскажите, как правильно реализовать
>данный способ выхода?
>
>Кусок конфига:
>nameif ethernet0 outside security0
>nameif ethernet1 inside security100
>nameif ethernet2 dmz security50
>
>ip address outside <Real-IP> 255.255.255.248
>ip address inside 10.150.10.112 255.255.255.0
>ip address dmz 10.150.150.112 255.255.255.0
>
>access-list www permit tcp any host <Real-web-ip> eq www
>access-list nat-out permit ip host 10.150.10.37 any
>global (outside) 1 <Real-NAT addr>
>nat (inside) 1 access-list nat-out 0 0
>static (dmz,outside) <Real-web-ip> 10.150.150.91 netmask 255.255.255.255 0 0
>access-group www in interface outside
>
>Заранее благодарю за помощь!
>Дмитрий

А почему не устраивает по нереальному адресу зайти?

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Проблема с доступом к своему серверу через Pix 525"

Сообщение от Nailer on 16-Дек-04, 10:51  (MSK)

>>Здравствуйте!
>>Имеется PIX 525, веб и прокси/ДНС сервера. Решил переместить веб сервер в
>>ДМЗ-зону. По примерам конфигурации с цисковского сайта все настроил, все замечательно.
>>Но есть одна проблема: я не могу зайти на веб сервер
>>по реальному адресу из внутренней сети если использую в качестве шлюза
>>пикс (все компы ходят через прокси с двумя интерфейсами). В логах
>>пикса начинают сыпаться сообщения о Land attack. Подскажите, как правильно реализовать
>>данный способ выхода?
Знакомый сталкивался с подобной проблемой.. Пришли к мнениею, что такое поведение пикса связано с очередями обработки пакетов и nat-ом. В качестве лечения была мысль написать на исходящем интерфейсе route-map и заворачивать траффик обратно на него же, чтобы пакет попадал в input очередь и нормально натился на сервер. Но, как выяснилось позже, в софте пикса не было роут-мапов, нужна была новая версия, поэтому на эту идею забили и начали искать другое решение.
Нашли тут: http://seclists.org/lists/firewall-wizards/2003/Dec/0036.html
Сути не знаю, просто ссылку мне перекидывали.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Проблема с доступом к своему серверу через Pix 525"
Сообщение от sh_ (??) on 16-Дек-04, 10:25 (MSK)
>Здравствуйте! >Имеется PIX 525, веб и прокси/ДНС сервера. Решил переместить веб сервер в >ДМЗ-зону. По примерам конфигурации с цисковского сайта все настроил, все замечательно. >Но есть одна проблема: я не могу зайти на веб сервер >по реальному адресу из внутренней сети если использую в качестве шлюза >пикс (все компы ходят через прокси с двумя интерфейсами). В логах >пикса начинают сыпаться сообщения о Land attack. Подскажите, как правильно реализовать >данный способ выхода? > >Кусок конфига: >nameif ethernet0 outside security0 >nameif ethernet1 inside security100 >nameif ethernet2 dmz security50 > >ip address outside <Real-IP> 255.255.255.248 >ip address inside 10.150.10.112 255.255.255.0 >ip address dmz 10.150.150.112 255.255.255.0 > >access-list www permit tcp any host <Real-web-ip> eq www >access-list nat-out permit ip host 10.150.10.37 any >global (outside) 1 <Real-NAT addr> >nat (inside) 1 access-list nat-out 0 0 >static (dmz,outside) <Real-web-ip> 10.150.150.91 netmask 255.255.255.255 0 0 >access-group www in interface outside > >Заранее благодарю за помощь! >Дмитрий А почему не устраивает по нереальному адресу зайти?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Проблема с доступом к своему серверу через Pix 525"
	Сообщение от Nailer on 16-Дек-04, 10:51 (MSK)
	>>Здравствуйте! >>Имеется PIX 525, веб и прокси/ДНС сервера. Решил переместить веб сервер в >>ДМЗ-зону. По примерам конфигурации с цисковского сайта все настроил, все замечательно. >>Но есть одна проблема: я не могу зайти на веб сервер >>по реальному адресу из внутренней сети если использую в качестве шлюза >>пикс (все компы ходят через прокси с двумя интерфейсами). В логах >>пикса начинают сыпаться сообщения о Land attack. Подскажите, как правильно реализовать >>данный способ выхода? Знакомый сталкивался с подобной проблемой.. Пришли к мнениею, что такое поведение пикса связано с очередями обработки пакетов и nat-ом. В качестве лечения была мысль написать на исходящем интерфейсе route-map и заворачивать траффик обратно на него же, чтобы пакет попадал в input очередь и нормально натился на сервер. Но, как выяснилось позже, в софте пикса не было роут-мапов, нужна была новая версия, поэтому на эту идею забили и начали искать другое решение. Нашли тут: http://seclists.org/lists/firewall-wizards/2003/Dec/0036.html Сути не знаю, просто ссылку мне перекидывали.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх