Клуб Сертифицированных Специалистов Клуб Сертифицированных Специалистов
Клуб Сертифицированных Специалистов
Клуб Сертифицированных Специалистов
регистрация  напомнить пароль      вхожу с чужого компьютера    
войти
Rambler's Top100

Новости сертификации

Новости клуба


Форум


Рассылка

Библиотека

Расписание курсов

Ссылки

Книжный магазин

Биржа труда


Регистрация

Сервис


О проекте


Поиск

Центр технической поддержки Supporting.Ru
Центр Обучения и Тестирования "САМАН-МАТИ"
Журнал 'Системный администратор'
Интернет университет информационных технологий

первая страница  /  форум  /  Вернуться в раздел архива "Техническая поддержка: Cisco"  /


Статика на PIX
 Цукен [more]2005-10-23 13:10:15

Здравствуйте,
Есть пикс с тремя интерфейсами:
- внешний
- внутренний (куча подсеток /24 начинающихся с 172.)
- ДМЗ - 172.16.1.0/24
Нужно чтобы пользователи из внутреннего сегмента получали доступ к серверам ДМЗ. По этому поводу вопросов два:
1) Корректно ли будети работать пикс. если трансляцию задать следующим образом: static (inside,dmz) 172.16.0.0 172.16.0.0 netmask 255.0.0.0 Т.е. мы задаем для трансляции подсетку, в которую входит и ДМЗ и внутрення сеть.
2) Тоже самое только внутренняя сеть 10.0.0.0/16/
Вопрос: чем результат применения правила
static (inside,dmz) 10.0.0.0 10.0.0.0 netmask 255.255.0.0 будет отличаться от
static (inside,dmz) 172.16.1.0 172.16.1.0 netmask 255.255.255.0.
Т.е. имеет ли значение какую из сеток транслировать между двумя интерфейсами?


 Sergey Moroz [more]2005-10-23 23:19:35

Ты в своих сетях запутался... Перепиши вопрос заново.

 Цукен [more]2005-10-24 23:01:10

Ок :)
Если по отдельности то вопросы звучат так:
1) Есть пикс:
- inside - куча подсеток, условно говоря 172.16.2.0-172.16.255.0/24
- DMZ - 172.16.1.0/24
Корректно ли будети работать пикс. если трансляцию задать следующим образом:
static (inside,dmz) 172.16.0.0 172.16.0.0 netmask 255.0.0.0
Т.е. мы задаем для трансляции подсетку, в которую входит и ДМЗ и внутрення сеть.
2) Есть пикс:
- inside - 10.1.0.0/24
- DMZ - 172.16.1.0/24
Вопрос: чем результат применения правила
static (inside,dmz) 10.0.0.0 10.0.0.0 netmask 255.255.255.0 будет отличаться от
static (inside,dmz) 172.16.1.0 172.16.1.0 netmask 255.255.255.0.
Т.е. имеет ли значение какую из сеток транслировать между двумя интерфейсами?


 Евгений Михайлович Петров [more]2005-10-25 17:48:57

а что у тебя там с натом-то?

 Sergey Moroz [more]2005-10-26 13:09:14

1) Вообще при описании Identity Static NAT в команде static два раза указывается сеть _внутреннего_ интерфейса, а внутренний - это тот, который указывается первым в команде static.

т.е. правильнее всего будет так:

static (dmz,inside) 172.16.1.0 172.16.1.0 netmask 255.255.255.0

Но возможно что и твой вариант пройдет - не пробовал.

2) для identity static nat допустимыми синтаксисами будут:

static (inside,dmz) 10.0.0.0 10.0.0.0 netmask 255.255.255.0
или
static (dmz,inside) 172.16.1.0 172.16.1.0 netmask 255.255.255.0 (ты выше эту команду неправильно написал!)

Они _взаимозаменяемы_ при условии что после static 2 раза указывается сеть _внутреннего_ интерфейса (первого в команде static).


 Цукен [more]2005-10-26 13:14:44

<i>to Sergey Moroz:</i>
10x!

 Sergey Moroz [more]2005-10-26 13:28:50

Ну да, сорри. Это я у тебя опечатку перепечатал :-)

Для пункта 2) правильно будет

static (inside,dmz) 10.1.0.0 10.1.0.0 netmask 255.255.255.0
или
static (dmz,inside) 172.16.1.0 172.16.1.0 netmask 255.255.255.0

 Николай Дудник [more]2005-10-26 13:46:06

static (dmz,inside) 172.16.1.0 172.16.1.0 netmask 255.255.255.0 не будет работать без нат. а при нат не имеет смысла.
должно быть
nat (ins) 0 access-l nonat
access-l nonat perm ip any 172.16.1.0 255.255.255.0

 Николай Дудник [more]2005-10-26 13:55:38

вариант static (inside,dmz) 172.16.0.0 172.16.0.0 netmask 255.255.0.0 пройдет.

 Цукен [more]2005-10-26 17:26:42

<i>to Sergey Moroz:</i>
<i>to Николай Дудник:</i>
Такие полярные мнения :)
<i>to Николай Дудник:</i>
Т.е. получается что записи
static (inside,dmz) 10.1.0.0 10.1.0.0 netmask 255.255.255.0
и
static (inside,dmz) 172.16.0.0 172.16.0.0 netmask 255.255.0.0
равнозначны?

 Николай Дудник [more]2005-10-26 17:44:59

<i>to Алексей Култышкин:</i>
нет, это записи для разных подсетей. смотря, что у вас на inside. могут потребоваться и обе.
они позволят серверам из дмз общаться со внутреними хостами и наоборот.

 Sergey Moroz [more]2005-10-27 19:00:07

<i>to Николай Дудник:</i>
static (dmz,inside) 172.16.1.0 172.16.1.0 netmask 255.255.255.0
будет работать без нат. Данная команда является полностью самодостаточной. Она так же взаимозаменяема с
static (inside,dmz) 10.1.0.0 10.1.0.0 netmask 255.255.255.0

(Уточню, identity static nat без проблем переворачивается в любую сторону на PIX 6.3(4), на других не пробовал)

И еще - этот вариант маршрутизации с точки зрения пользователя, настраивающего пикс, на 99% идентичен варианту маршрутизации с nat 0. В больше случаев они так же взаимозаменяемы.

<i>to Алексей Култышкин:</i>
записи
static (inside,dmz) 10.1.0.0 10.1.0.0 netmask 255.255.255.0
и
static (inside,dmz) 172.16.0.0 172.16.0.0 netmask 255.255.0.0

не равнозначны по той простой причине что после static (inside,dmz) должна два раза писаться сеть интерфейса inside.

 Цукен [more]2005-10-28 10:27:49

<i>to Sergey Moroz:</i>
Спасибо

 Николай Дудник [more]2005-10-28 11:44:50

pixfirewall(config)# sh ver | i 6.3
Cisco PIX Firewall Version 6.3(4)

pixfirewall(config)# sh nat
pixfirewall(config)# sh stat
static (dmz,inside) 172.16.1.0 172.16.1.0 netmask 255.255.255.0 0 0
pixfirewall(config)# clear xl

sw1(config)#do p 172.16.1.2 so vl 3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.2, timeout is 2 seconds:
Packet sent with a source address of 10.1.0.2
.....
Success rate is 0 percent (0/5)

sw2(config)#do p 10.1.0.2 so vl 50

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.0.2, timeout is 2 seconds:
Packet sent with a source address of 172.16.1.2
.....
Success rate is 0 percent (0/5)

------------

pixfirewall(config)# sh nat
pixfirewall(config)# sh stat
static (inside,dmz) 10.1.0.0 10.1.0.0 netmask 255.255.255.0 0 0
pixfirewall(config)# clear xl

sw1(config)#do p 172.16.1.2 so vl 3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.2, timeout is 2 seconds:
Packet sent with a source address of 10.1.0.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

sw2(config)#do p 10.1.0.2 so vl 50

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.0.2, timeout is 2 seconds:
Packet sent with a source address of 172.16.1.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/9 ms

 Sergey Moroz [more]2005-10-31 12:18:00

<i>to Николай Дудник:</i>
<i>to Цукен:</i>

Каюсь, прокололся. Перепроверил :-) Static действительно не переворачивается, равно как и NAT0+ACL. Где-то в чем-то меня переглючило... Короче, обе эти команды должны рисоваться в исходящем направлении inside -> dmz, т.е. от большего уровня безопасности к меньшему, "кверх ногами" они не работают.

Так что если inside=10.1.0.0/24 и dmz=172.16.1.0/24 то работать будет только:

static (inside,dmz) 10.1.0.0 10.1.0.0 netmask 255.255.255.0

или

nat (inside) 0 access-list NONAT
access-list NONAT permit ip 10.1.0.0 255.255.255.0 172.16.1.0 255.255.255.0

Особой разницы между этими 2 вариантами нет.


Создание и поддержка: © 1999- САМАН  
   (495) 915-3358, 915-3580, 585-6927, 585-6799  
 
 Центр Обучения и Тестирования "САМАН"
 Центр технической поддержки "Supporting.Ru"
 Кафедра "Интернет технологии" МАТИ 		Rambler's Top100