>>>>>>>Я пока только начало конфа посмотрел, там такая странность, почему-то у внешнего >>>>>>>интерфейса "серый" адрес, а у интерфейса DMZ адрес провайдера, может стоит >>>>>>>местами поменять? А то получается, что Вы в инет лезете от >>>>>>>серого адреса, что недопустимо. >>>>>> >>>>>> >>>>>>Ситуация такая >>>>>> >>>>>>то что вы написали так и есть >>>>>> >>>>>>Тогда получается в DMZ адреса будут серые, или нужно будет свою сету >>>>>>разбивать и терять адреса чего бы и не хотелось бы. Потому >>>>>>как попадают адреса уже с прописанными доменами >>>>>>Или я чего-то не дорудаю? >>>>>> >>>>>>у меня есть сетка из 16 адресов >>>>>>и один на провайдера не из моей сетки >>>>> Dmz>>>>>А и еще, я так понял, что есть идея использовать в DMZ >>>>>интернет адреса выданные провайдером, тогда не будет никакой DMZ! >>>> >>>>Я извиняюсь за вопросы чайника. Некоторые вещи пока еще не понятны. >>>>Если не затруднительно можно по подробней. >>>>Почему не получиться ДМЗ если будут реальные адреса ? >>>DMZ - есть адресное пространство, в которое открыт доступ из internet и >>>из которой невозможен доступ в локальную сеть. Вот ссылка http://ru.wikipedia.org/wiki/DMZ_(компьютерные_сети) >>>Вообще, мне кажется, что рановато начинать PIX настраивать, надо сначала почитать книжек >>>всяких умных. >>>В принципе необходимо сделать следующее: >>>1) присвоить outside интерфейсу адрес из пула выданного провайдером; >>>2) выбрать адресное пространство ддля DMZ и присвоить интерфейсу DMZ адрес из >>>этого пространства; >>>3) создать nat для локальной сети, можно как уже было в конфе, >>>т.е. фактически вся сеть будет транслироваться в один адрес - адрес >>>интерфейса outside; >>>4) создать статические правила трансляции для www,ftp и т.д. >>>Вкратце так... Правда насколько я понял надо бы тогда еще один интерфейс >>>на маршрутизаторе поднять и подцепить его к прову выдавшему адреса 217.х.х.х... >>> >> >>Я только не понимаю это то зачем ? >>(((Правда насколько я понял надо бы тогда еще один интерфейс на маршрутизаторе >>поднять и подцепить его к прову выдавшему адреса 217.х.х.х...))) >> >>Если В ДМЗ будут серые адреса и на которые будет НАТ с >>outsida а на outside реальныеIP с роутингом на 2651 тоже на >>реальный, а с 2651 роутинг на IP провайдера. >> >>Или я что то не до понял? > >Да и я не понимаю, что Вы хотите сделать, на самом router >уже и nat еи трафик отфильтровывается, если купили pix, то все >эти функции надо передать ему, а на роутер возложить функцию маршрутизации >трафика... Также непонятно адреса 217.х.х.х и 62.105.17.102 принадлежат одному провайдер, я >считал, что нет, а значит есть два канала... Ок я понял постараюсь боле подробно всё описать. Есть провайдер у него мы взяли 16 IP адресов (217.х.х.х)и ещё 1 (62.105.17.102) для гатевея на провайдера, чтобы не использовать свои для маршрутизации. Купили 2651 с двутя ethernet и PIX 515e inside outside И 4 DMZ. Наши хотелки Local в internet Local в Dmz Dmz в internet В Dmz www. ftp. smtp. pop3............ Eсть еще железо типа защищенные шлюзы для работы с другой конторой которые реальными адресами смотрят в инет. Если я Вас еще не утомил может переключимся на аську. моя 15422590
|