>>>>>>>Я пока только начало конфа посмотрел, там такая странность, почему-то у внешнего
>>>>>>>интерфейса "серый" адрес, а у интерфейса DMZ адрес провайдера, может стоит
>>>>>>>местами поменять? А то получается, что Вы в инет лезете от
>>>>>>>серого адреса, что недопустимо.
>>>>>>
>>>>>>
>>>>>>Ситуация такая
>>>>>>
>>>>>>то что вы написали так и есть
>>>>>>
>>>>>>Тогда получается в DMZ адреса будут серые, или нужно будет свою сету
>>>>>>разбивать и терять адреса чего бы и не хотелось бы. Потому
>>>>>>как попадают адреса уже с прописанными доменами
>>>>>>Или я чего-то не дорудаю?
>>>>>>
>>>>>>у меня есть сетка из 16 адресов
>>>>>>и один на провайдера не из моей сетки
>>>>>
Dmz>>>>>А и еще, я так понял, что есть идея использовать в DMZ
>>>>>интернет адреса выданные провайдером, тогда не будет никакой DMZ!
>>>>
>>>>Я извиняюсь за вопросы чайника. Некоторые вещи пока еще не понятны.
>>>>Если не затруднительно можно по подробней.
>>>>Почему не получиться ДМЗ если будут реальные адреса ?
>>>DMZ - есть адресное пространство, в которое открыт доступ из internet и
>>>из которой невозможен доступ в локальную сеть. Вот ссылка http://ru.wikipedia.org/wiki/DMZ_(компьютерные_сети)
>>>Вообще, мне кажется, что рановато начинать PIX настраивать, надо сначала почитать книжек
>>>всяких умных.
>>>В принципе необходимо сделать следующее:
>>>1) присвоить outside интерфейсу адрес из пула выданного провайдером;
>>>2) выбрать адресное пространство ддля DMZ и присвоить интерфейсу DMZ адрес из
>>>этого пространства;
>>>3) создать nat для локальной сети, можно как уже было в конфе,
>>>т.е. фактически вся сеть будет транслироваться в один адрес - адрес
>>>интерфейса outside;
>>>4) создать статические правила трансляции для www,ftp и т.д.
>>>Вкратце так... Правда насколько я понял надо бы тогда еще один интерфейс
>>>на маршрутизаторе поднять и подцепить его к прову выдавшему адреса 217.х.х.х...
>>>
>>
>>Я только не понимаю это то зачем ?
>>(((Правда насколько я понял надо бы тогда еще один интерфейс на маршрутизаторе
>>поднять и подцепить его к прову выдавшему адреса 217.х.х.х...)))
>>
>>Если В ДМЗ будут серые адреса и на которые будет НАТ с
>>outsida а на outside реальныеIP с роутингом на 2651 тоже на
>>реальный, а с 2651 роутинг на IP провайдера.
>>
>>Или я что то не до понял?
>
>Да и я не понимаю, что Вы хотите сделать, на самом router
>уже и nat еи трафик отфильтровывается, если купили pix, то все
>эти функции надо передать ему, а на роутер возложить функцию маршрутизации
>трафика... Также непонятно адреса 217.х.х.х и 62.105.17.102 принадлежат одному провайдер, я
>считал, что нет, а значит есть два канала... Ок я понял постараюсь боле подробно всё описать. Есть провайдер
у него мы взяли 16 IP адресов (217.х.х.х)и ещё 1 (62.105.17.102) для гатевея на провайдера, чтобы не использовать свои для маршрутизации.
Купили 2651 с двутя ethernet и PIX 515e inside outside И 4 DMZ. Наши хотелки
Local в internet
Local в Dmz
Dmz в internet
В Dmz www. ftp. smtp. pop3............ Eсть еще железо типа защищенные шлюзы для работы с другой конторой которые реальными адресами смотрят в инет. Если я Вас еще не утомил может переключимся на аську.
моя 15422590
|
Вариант для распечатки
Маршрутизаторы CISCO и др. оборудование. (Public)
(ok) on 22-Май-07, 09:12 
