https://www.opennet.dev/openforum/vsluhforumID6/14558.html есть cisco pix 506e, смотрит в инет и локалку, всё как надо. <br>внеший адрес a.а.а.а, внутренний b.b.b.b<br>в локалке стоит web-сервер с поднятым ssl, его адрес w.w.w.w<br><br>в пиксе прописано правило допуска к этому серверу:<br>access-list 100 permit tcp any interface outside eq 443<br>access-group 100 in interface outside<br>static (inside,outside) tcp interface 443 w.w.w.w 443 netmask 255.255.255.255 0 0<br><br>и всё прекрасно работает, доступ со всех хостов к https://а.а.а.а есть, попадаем на внутренний сервак w.w.w.w.<br><br>внимание, уважаемые Знатоки, вопросы: <br>1. как сделать, чтобы при обращении с одного особенного внешнего адреса d.d.d.d к https://а.а.а.а, пакеты приходили к другому серверу в той же локалке, например e.e.e.e ?<br><br>2. как сделать, чтобы при обращении к https://а.а.а.а с другого особенного внешнего адреса f.f.f.f , открывался не пресловутый внутренний web-сервер, а интерфейс управления этим самым cisco pix?<br> https://www.opennet.dev/openforum/vsluhforumID6/14558.html#5 Sat, 07 Jun 2008 13:40:06 GMT И все-таки, поставленная задача имеет решение на Cisco PIX 506E с прошивкой 6.3, или нет? Вариант разведения по портам не подходит, т.к. портов много, и заставлять кого-то помнить кучу нестандартных портов для обращения к стандартным сервисам - не получится.<br><br>Решение с ACL в команде static не получилось. Потому что выходит, что надо ввести две команды static, ссылающиеся хоть и на разные ассеss-list, но на один внешний IP. А это не получается, появляется ругань на дублирование.<br> https://www.opennet.dev/openforum/vsluhforumID6/14558.html#4 Thu, 14 Feb 2008 14:11:31 GMT На каком интерфейсе? <br>из какой сети?<br>В доке поиск по "ssh" делали?<br><br><br>Пример:<br><br>открываем доступ по ssh на внутреннем интерфейса для сети 10.23.14.0/255.255.255.0<br><br>pix(config)#ssh 10.23.14.0 255.255.255.0 inside<br><br><br>Если предположить что внутренний IP адрес ПИКСа на интерфейсе inside - 10.23.14.1, то<br>доступаться с машины из сети 10.23.14.0/255.255.255.0 так:<br><br>$ ssh pix@10.23.14.1<br> https://www.opennet.dev/openforum/vsluhforumID6/14558.html#3 Thu, 14 Feb 2008 12:32:00 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Это точно работает на 7.2(2). Но 7.2(2) не будет работать на 506e.. <br>&gt;<br>&gt;<br>&gt;&gt; 2. как сделать, чтобы при обращении к https://а.а.а.а с другого особенного внешнего адреса f.f.f.f , <br>&gt;&gt; открывался не пресловутый внутренний web-сервер, а интерфейс управления этим самым cisco pix<br>&gt;<br>&gt;Вы лучше задачу поменяйте (и первую тоже). Откройте, например, ssh на PIX, <br>&gt;выучите командную строку :) <br>&gt;Или поднимите VPN. <br><br>как откррыть ssh<br>помогите пожалуйста<br> https://www.opennet.dev/openforum/vsluhforumID6/14558.html#2 Mon, 01 Oct 2007 07:35:09 GMT По протам разводить надо, т.е. https на сервере e.e.e.e должен слушать порт, отличный от 443 ну и соответствующую запись static делать.<br> https://www.opennet.dev/openforum/vsluhforumID6/14558.html#1 Mon, 01 Oct 2007 07:14:49 GMT &gt;<br>&gt; 1. как сделать, чтобы при обращении с одного особенного внешнего адреса <br>&gt; d.d.d.d к https://а.а.а.а, пакеты приходили к другому серверу в той же локалке, <br>&gt; например e.e.e.e ?<br><br>static NAT можно сделать "условным" - получается типа<br>policy nat:<br><br>static (inside,outside) 192.168.117.10 access-list nat-office2_23-cust-0857 0 0<br><br>Это точно работает на 7.2(2). Но 7.2(2) не будет работать на 506e..<br><br>&gt; 2. как сделать, чтобы при обращении к https://а.а.а.а с другого особенного внешнего адреса f.f.f.f , <br>&gt; открывался не пресловутый внутренний web-сервер, а интерфейс управления этим самым cisco pix<br><br>Вы лучше задачу поменяйте (и первую тоже). Откройте, например, ssh на PIX, выучите командную строку :)<br>Или поднимите VPN.<br>