- Cisco PIX 515E разделение доступа, sh_, 10:05 , 17-Авг-06 (1)
Ух... Вопрос не понял, но по командам отвечу. access-list inside_authentication_LOCAL permit tcp any any eq telnet acl, разрешающий прохождение пакетов с любого адреса на любой на 23 tcp портroute outside 0.0.0.0 0.0.0.0 Q.W.E.21 1 дефолтный маршрут на адрес Q.W.E.21 с метрикой 1 access-group outside in interface outside применяем acl outside к интерфейсу outside во входящем направлении access-list 101 permit ip 192.168.100.0 255.255.255.0 1.1.1.0 255.255.255.0 acl, разрешающий прохождение ip пакетов из сети 192.168.100.0 255.255.255.0 в сеть 1.1.1.0 255.255.255.0 access-list 101 permit ip 192.168.100.0 255.255.255.0 host 1.1.1.0 что означает эта строчка и какая разница между (IP) и (HOST) host 1.1.1.0 аналогично записи 1.1.1.0 255.255.255.255 global (outside) 1 192.168.100.100-192.168.100.200 nat (inside1) 1 192.168.1.151 255.255.255.255 0 0
А этой строчкой адреса на интерфейсе inside1 транслируются в адреса на интерфейсе outside.
- Cisco PIX 515E разделение доступа, A.l.e.x.e.y., 10:57 , 17-Авг-06 (2)
>Привет братья по разуму! > >И снова вопрос по наболевшей теме Cisco PIX. >Есть конфиг. По конфигу все юзеры выходят в инет по A.B.C.1 шлюзу. >Встала задача половина этих юзеров выкинуть с инета. Можно ли настроить >определенный пул адрессов юзеров для выхода в инет, а также одиночные >адреса. >Юзеров в компании 200 чел. поэтому ходить и отключать у всех шлюз >слишком запарно. > >: Written by enable_15 at 20:10:49.972 UTC Tue Aug 15 2006 >PIX Version 6.3(4) >interface ethernet0 100full >interface ethernet1 100full >interface ethernet2 auto shutdown >interface ethernet3 auto shutdown >interface ethernet4 auto shutdown >interface ethernet5 auto shutdown >nameif ethernet0 outside security0 >nameif ethernet1 inside security100 >nameif ethernet2 intf2 security4 >nameif ethernet3 intf3 security6 >nameif ethernet4 intf4 security8 >nameif ethernet5 intf5 security10 >enable password xxxxxxxxxxxxxxxx encrypted >passwd xxxxxxxxxxxxxxxxencrypted >hostname pixfirewall >domain-name ciscopix.com >fixup protocol dns maximum-length 512 >fixup protocol ftp 21 >fixup protocol h323 h225 1720 >fixup protocol h323 ras 1718-1719 >fixup protocol http 80 >fixup protocol rsh 514 >fixup protocol rtsp 554 >fixup protocol sip 5060 >fixup protocol sip udp 5060 >fixup protocol skinny 2000 >fixup protocol smtp 25 >fixup protocol sqlnet 1521 >fixup protocol tftp 69 >names >access-list inside_authentication_LOCAL permit tcp any any eq telnet >access-list outside permit icmp any any >pager lines 24 >logging on >logging timestamp >logging console notifications >logging trap alerts >logging facility 17 >logging device-id ipaddress inside >mtu outside 1500 >mtu inside 1500 >mtu intf2 1500 >mtu intf3 1500 >mtu intf4 1500 >mtu intf5 1500 >ip address outside Q.W.E.22 Z.X.S.252 >ip address inside A.B.C.1 Z.X.S.0 >no ip address intf2 >no ip address intf3 >no ip address intf4 >no ip address intf5 >ip audit info action alarm >ip audit attack action alarm >no failover >failover timeout 0:00:00 >failover poll 15 >no failover ip address outside >no failover ip address inside >no failover ip address intf2 >no failover ip address intf3 >no failover ip address intf4 >no failover ip address intf5 >pdm history enable >arp timeout 14400 >global (outside) 10 interface >nat (inside) 10 A.B.C.0 Z.X.S.0 0 0 >access-group outside in interface outside >route outside 0.0.0.0 0.0.0.0 Q.W.E.21 1 >timeout xlate 3:00:00 >timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 >timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 >timeout uauth 0:05:00 absolute >aaa-server TACACS+ protocol tacacs+ >aaa-server TACACS+ max-failed-attempts 3 >aaa-server TACACS+ deadtime 10 >aaa-server RADIUS protocol radius >aaa-server RADIUS max-failed-attempts 3 >aaa-server RADIUS deadtime 10 >aaa-server LOCAL protocol local >aaa authentication match inside_authentication_LOCAL inside LOCAL >no snmp-server location >no snmp-server contact >snmp-server community public >no snmp-server enable traps >floodguard enable >telnet A.B.C.166 Z.X.S.255 inside >telnet timeout 5 >ssh timeout 5 >console timeout 0 >dhcpd lease 3600 >dhcpd ping_timeout 750 >dhcpd auto_config outside >terminal width 80 >pixfirewall# > >Подскажите решение. > > >Что означают эти строки >access-list inside_authentication_LOCAL permit tcp any any eq telnet >route outside 0.0.0.0 0.0.0.0 Q.W.E.21 1 >access-group outside in interface outside > >и отдельно >access-list 101 permit ip 192.168.100.0 255.255.255.0 1.1.1.0 255.255.255.0 > >access-list 101 permit ip 192.168.100.0 255.255.255.0 host 1.1.1.0 >что означает эта строчка и какая разница между (IP) и (HOST) > >global (outside) 1 192.168.100.100-192.168.100.200 > >nat (inside1) 1 192.168.1.151 255.255.255.255 0 0 > >Сразу прошу за разьяснениями на киску ком не отправлять. > >Спасибо жду ответов. надо настроить access-lists, чтото типа того access-list 101 permit ip <ip кому можно> <маска> any access-list 101 deny ip <ip кому нельзя> <маска> any access-group 101 in interface inside и еще правильно настроить нат global (outside) 1 <диапазон адресов, выданных провайдером> netmask <маска> nat (inside) 1 <ip кому можно> <маска> 0 0
- Cisco PIX 515E разделение доступа, Magor, 11:34 , 17-Авг-06 (3)
>надо настроить access-lists, чтото типа того >access-list 101 permit ip <ip кому можно> <маска> any >access-list 101 deny ip <ip кому нельзя> <маска> any >access-group 101 in interface insideа если так: access-list 101 deny ip any any access-list 101 permit ip <ip кому можно> <маска> any access-group 101 in interface inside >nat (inside) 1 <ip кому можно> <маска> 0 0 <ip кому можно> - т.е указать IP для шлюза к примеру 192.168.2.1 а как насчет пула адресов транслируемых с inside в outside? Спасибо жду ответов.
- Cisco PIX 515E разделение доступа, A.l.e.x.e.y., 11:53 , 17-Авг-06 (4)
>>надо настроить access-lists, чтото типа того >>access-list 101 permit ip <ip кому можно> <маска> any >>access-list 101 deny ip <ip кому нельзя> <маска> any >>access-group 101 in interface inside > >а если так: >access-list 101 deny ip any any >access-list 101 permit ip <ip кому можно> <маска> any >access-group 101 in interface inside > >>nat (inside) 1 <ip кому можно> <маска> 0 0 ><ip кому можно> - т.е указать IP для шлюза к примеру 192.168.2.1 > >а как насчет пула адресов транслируемых с inside в outside? > >Спасибо жду ответов. если поставишь access-list 101 deny ip any any, то закроешь всем инет, т.к. правила проверяются до первого совпадения, так что лучше в конец поставь (точно не помню но помоему если на интерфейсе есть acl то deny ip any any добавляется в конец по умолчанию, так что можно вообще не писать) <ip кому можно> не адрес шлюза, а адрес машин из внутренней сети с которых можно ходить в инет. >а как насчет пула адресов транслируемых с inside в outside? > пул адресов и задется командой global у вас в нем будет только 1 адрес - адрес outside интерфейса (т.к. маска .252) global (outside) 1 Q.W.E.22 netmask 255.255.255.255
- Cisco PIX 515E разделение доступа, Magor, 13:21 , 17-Авг-06 (5)
Если у юзеров IP 192.168.A.30/250 и в нате прописан IP 192.168.A.0 то (A.0) говорит нату о трансляции IP-ишников юзеров c подсеткой (A) я правильно понял? ><ip кому можно> не адрес шлюза, а адрес машин из внутренней сети с которых можно ходить в инет. если мне надо дать доступ 100 юзерам из 200, то что мне 100 строк с командой нат надо прописывать в конфиге
- Cisco PIX 515E разделение доступа, A.l.e.x.e.y., 13:34 , 17-Авг-06 (6)
>Если у юзеров IP 192.168.A.30/250 и в нате прописан IP 192.168.A.0 то >(A.0) говорит нату о трансляции IP-ишников юзеров c подсеткой (A) я >правильно понял? > >><ip кому можно> не адрес шлюза, а адрес машин из внутренней сети с которых можно ходить в инет. > >если мне надо дать доступ 100 юзерам из 200, то что мне >100 строк с командой нат надо прописывать в конфиге Во-превых маски /250 не бывает. Во-вторых в команде nat не зря отведено поле под маску. Вам нужно написать nat (inside) 1 192.168.A.0 255.255.255.0 чтоб разрешить нат для всей сети 192.168.A.0, те кому не положено лезть в инет будут отрубаться access-listами, кому положено свободно проходить.
- Cisco PIX 515E разделение доступа, Magor, 14:06 , 17-Авг-06 (7)
>Если у юзеров IP 192.168.A.30/250 192.168.A.30/250- я имел ввиду пул от 30 до 250 ладно с нат разобрались в access-list моно задавать пул типа 192.168.A.30-192.168.A.250 или что мне ручками вбивать все 100 явных IP юзеров Спасибо жду ответов.
- Cisco PIX 515E разделение доступа, Magor, 15:49 , 17-Авг-06 (8)
Спасибо всем за ответы. Отдельное спасибо A.l.e.x.e.y. Я думаю начальным цискоманам будет интересна эта страничка.
|