https://www.opennet.ru/openforum/vsluhforumID6/7843.html Господа помогите!<br>Имеется PIX 501, на outside выставлен реальный ip 195.218.x.x (маска 255.255.255.252), на inside 192.168.0.0 (маска 255.255.255.0).<br>Настроен PAT (все выходят через один адрес но по разным портам).<br><br>Задача, пробить снаружи дыру (только с одного адреса), чтобы проходить на сервер 192.168.0.10. по ssh<br>Чего делать?<br>ACL на outside открыл для наружнего адреса.<br>Не могу понять нужно ли настраивать outside nat и если нужно то как...<br>Подскажите? https://www.opennet.ru/openforum/vsluhforumID6/7843.html#8 Thu, 14 Feb 2008 11:52:31 GMT Помогите пожалуйста, не могу настроить доступ через SSh на интерфейс outside.<br>напишите пример конфига в которов будут описаны все команды касающиеся SSH<br>заранее огромное спасибо<br><br>привиденная выше схема у меня не работает<br><br> https://www.opennet.ru/openforum/vsluhforumID6/7843.html#7 Fri, 29 Apr 2005 10:19:53 GMT &gt;Вобщем в чем засада совсем не понимаю.... все как по книжкам.... <br>&gt;<br>&gt;<br>&gt;access-list outside_access_in; 4 elements <br>&gt;access-list outside_access_in line 1 permit tcp 195.218.159.0 255.255.255.0 eq ssh host 195.218.236.178 <br>&gt;eq ssh (hitcnt=0) <br>&gt;access-list outside_access_in line 2 permit tcp any host 192.168.0.8 eq ssh (hitcnt=0) <br>&gt;<br>&gt;access-list outside_access_in line 3 permit ip 195.218.159.0 255.255.255.0 host 195.218.236.178 (hitcnt=2) <br>&gt;access-list outside_access_in line 4 permit ip 195.218.159.0 255.255.255.0 192.168.0.0 255.255.255.0 (hitcnt=0) <br><br>Ja ocen izveniajus no v pervom otvete dopustil osibku v access-liste ...<br><br>Access-list imejut osobennost srabotav pervomu ostalnije acl'i ne rassmatrivajutsia ...<br><br>Delaj tak :<br>1.<br>no access-list 110 permit ip 192.168.0.0 255.255.255.0 any<br>no access-list outside_access_in permit tcp 195.218.159.0 255.255.255.0 eq ssh host 195.218.236.178 eq ssh<br>no access-list outside_access_in permit tcp any host 192.168.0.8 eq ssh<br>no access-list outside_access_in https://www.opennet.ru/openforum/vsluhforumID6/7843.html#6 Fri, 29 Apr 2005 10:05:36 GMT Неа, все равное не пашет, каунтеры обновляются в линии 3 (когда пытаюсь зайти туда ssh), хотя почему в строке 3, а не 1?<br><br>Вобщем в чем засада совсем не понимаю.... все как по книжкам....<br><br><br>access-list outside_access_in; 4 elements<br>access-list outside_access_in line 1 permit tcp 195.218.159.0 255.255.255.0 eq ssh host 195.218.236.178 eq ssh (hitcnt=0) <br>access-list outside_access_in line 2 permit tcp any host 192.168.0.8 eq ssh (hitcnt=0) <br>access-list outside_access_in line 3 permit ip 195.218.159.0 255.255.255.0 host 195.218.236.178 (hitcnt=2) <br>access-list outside_access_in line 4 permit ip 195.218.159.0 255.255.255.0 192.168.0.0 255.255.255.0 (hitcnt=0) <br><br>PIX Version 6.3(4)<br>interface ethernet0 10baset<br>interface ethernet1 100full<br>nameif ethernet0 outside security0<br>nameif ethernet1 inside security100<br>hostname pix<br>domain-name local<br>clock timezone MSK/MSD 3<br>clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00<br>fixup protocol dns maximum-length 512<br>fixup protocol ftp 21<br>no f https://www.opennet.ru/openforum/vsluhforumID6/7843.html#5 Fri, 29 Apr 2005 07:55:59 GMT U tebia zadaca bila ssh na 192.168.0.10<br>a ti probrosil na: 192.168.0.8 !!!!<br><br>static (inside,outside) tcp 195.218.236.178 ssh 192.168.0.8 ssh netmask 255.255.255.255 0 0<br><br>Dobav ese <br>access-list outside_access_in permit ssh any host 195.218.236.178 eq ssh <br><br>I ti smotri idut li packeti po tvojemu ACL ili net ...<br>show access-list<br>hitcnt dolzen uvelicivatsia ...<br> https://www.opennet.ru/openforum/vsluhforumID6/7843.html#4 Fri, 29 Apr 2005 07:40:04 GMT &gt;no access-list outside_access_in permit ip 195.218.159.0 255.255.255.0 any <br>&gt;access-list outside_access_in permit ip any 195.218.159.0 255.255.255.0 <br><br>Нет, так совсем не катит.<br><br>Адрес на outside 195.218.236.178, а сетка 195.218.159.0 - эта та сеть из которой разрешено идти на данный firewall <br>Поэтому данное правило на мой взгляд не имет смысла ..а илия не прав?<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/7843.html#3 Fri, 29 Apr 2005 07:33:51 GMT no access-list outside_access_in permit ip 195.218.159.0 255.255.255.0 any<br>access-list outside_access_in permit ip any 195.218.159.0 255.255.255.0 https://www.opennet.ru/openforum/vsluhforumID6/7843.html#2 Fri, 29 Apr 2005 07:28:05 GMT Не помогает :(, не проходим мы ssh когда делаем конект на 195.218.236.178<br>Вот тестовая конфигурация...<br>Может чего забыли?<br><br><br>PIX Version 6.3(4)<br>interface ethernet0 10baset<br>interface ethernet1 100full<br>nameif ethernet0 outside security0<br>nameif ethernet1 inside security100<br>hostname pix<br>domain-name local<br>clock timezone MSK/MSD 3<br>clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00<br>fixup protocol dns maximum-length 512<br>fixup protocol ftp 21<br>no fixup protocol h323 h225 1720<br>no fixup protocol h323 ras 1718-1719<br>fixup protocol http 80<br>no fixup protocol rsh 514<br>no fixup protocol rtsp 554<br>no fixup protocol sip 5060<br>no fixup protocol sip udp 5060<br>no fixup protocol skinny 2000<br>fixup protocol smtp 25<br>no fixup protocol sqlnet 1521<br>no fixup protocol tftp 69<br>names<br>access-list 110 permit ip 192.168.0.0 255.255.255.0 any <br>access-list outside_access_in permit tcp any host 192.168.0.8 eq ssh <br>access-list outside_access_in permit ip 195.218.159.0 255.255.255.0 any <br>pager lines 36<br> https://www.opennet.ru/openforum/vsluhforumID6/7843.html#1 Thu, 28 Apr 2005 19:55:21 GMT <br>access-list 101 permit tcp any host 192.168.0.10 eq ssh<br>// ACL prikrepliajemij na outside interface, razresaet ssh obrasenije na 192.168.0.10<br>static (inside,outside) tcp 195.218.x.x ssh 192.168.0.10 ssh netmask 255.255.255.255 0 0 <br>// Vikidivaem porti ssh&#8217;a IPishnika 192.168.0.10 (inside interface) naruzu.<br>access-group 101 in interface outside <br>// Ispolzujem ACL Nr. 101 na OUTSIDE interface <br>