The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"PIX 515E не пускает с outside на inside"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"PIX 515E не пускает с outside на inside"  +/
Сообщение от Цыс (ok) on 07-Июл-09, 10:29 
Доброе время суток. Вопрос в следующем. Имеется данная железка, сейчас провожу над ней эксперименты дабы ею заменить шлюз на *никс. С этой целью в интерфейс инсайд с адресом из локальной сети (10.1.1.254) воткнута локальная сеть, в аутсайд - хаб, в хаб машина с фрибсд. Аутсайд присвоен адрес 192.168.1.1, машине с фряхой - 192.168.1.2. Гетвэй на тестовой машине локальной сети - адрес инсайд пикса (10.1.1.254). Гетвэй на фряхе - 192.168.1.1 (аутсайд пикса).
На самом пиксе:

static (inside,outside) tcp 192.168.1.1 ssh 10.1.1.50 ssh netmask 255.255.255.255 0 0
static (inside,outside) tcp 192.168.1.1 www 10.1.1.50 www netmask 255.255.255.255 0 0

(10.1.1.50 - машина из локальной сети с web, ssh, smtp, pop)

nat (inside) 1 0.0.0.0 0.0.0.0 0 0
global (outside) 1 192.168.1.100-192.168.1.254 netmask 255.255.255.0

access-list 100; 7 elements
access-list 100 line 1 permit icmp any any echo-reply (hitcnt=31)
access-list 100 line 2 permit icmp any any time-exceeded (hitcnt=0)
access-list 100 line 3 permit icmp any any unreachable (hitcnt=0)
access-list 100 line 4 permit tcp any any eq ssh (hitcnt=12)
access-list 100 line 5 permit tcp any any eq domain (hitcnt=0)
access-list 100 line 6 permit udp any any eq domain (hitcnt=46)
access-list 100 line 7 permit tcp any any eq www (hitcnt=14)

access-list 101; 2 elements
access-list 101 line 1 permit tcp any any (hitcnt=2)
access-list 101 line 2 permit ip any any (hitcnt=0)

access-group 100 in interface outside
access-group 101 in interface inside

При всем при этом обращения изнутри сети на машину с фряхой (на интерфейсе аутсайд) проходят без проблем. Ссш, пинги и тп, все что душе угодно. При попытке с фряхи обратиться к www или ssh на 192.168.1.1 на фряхе все висит а потом вылетает по таймауту. На пиксе при этом в аксес-листах счетчики накручиваются и появляются следующие логи:

305011: Built static TCP translation from inside:10.1.1.50/80 to outside:192.168.1.1/80
302013: Built inbound TCP connection 216 for outside:192.168.1.2/54843(192.168.1.2/54843) to inside:10.1.1.50/80 (192.168.1.1/80)
302013: Built inbound TCP connection 217 for outside:192.168.1.2/60362(192.168.1.2/60362) to inside:10.1.1.50/80 (192.168.1.1/80)
302014: Teardown TCP connection 216 for outside:192.168.1.2/54843 to inside:10.1.1.50/80 duration 0:02:01 bytes 0 SYN Timeout
302013: Built inbound TCP connection 218 for outside:192.168.1.2/52875(192.168.1.2/52875) to inside:10.1.1.50/80 (192.168.1.1/80)
302014: Teardown TCP connection 217 for outside:192.168.1.2/60362 to inside:10.1.1.50/80 duration 0:02:01 bytes 0 SYN Timeout
302014: Teardown TCP connection 218 for outside:192.168.1.2/52875 to inside:10.1.1.50/80 duration 0:02:01 bytes 0 SYN Timeout
305012: Teardown static TCP translation from inside:10.1.1.50/80 to outside:192.168.1.1/80 duration 0:04:36

Уже иссякла всяческая фантазия на тему что не так... Кто чем может...

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "PIX 515E не пускает с outside на inside"  +/
Сообщение от sh_ email(ok) on 07-Июл-09, 16:57 
А сделайте вот так.

no static (inside,outside) tcp 192.168.1.1 ssh 10.1.1.50 ssh netmask 255.255.255.255 0 0
no static (inside,outside) tcp 192.168.1.1 www 10.1.1.50 www netmask 255.255.255.255 0 0

static (inside,outside) tcp 192.168.1.3 ssh 10.1.1.50 ssh netmask 255.255.255.255 0 0
static (inside,outside) tcp 192.168.1.3 www 10.1.1.50 www netmask 255.255.255.255 0 0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "PIX 515E не пускает с outside на inside"  +/
Сообщение от Цыс (ok) on 07-Июл-09, 18:05 
>А сделайте вот так.
>
>no static (inside,outside) tcp 192.168.1.1 ssh 10.1.1.50 ssh netmask 255.255.255.255 0 0
>
>no static (inside,outside) tcp 192.168.1.1 www 10.1.1.50 www netmask 255.255.255.255 0 0
>
>
>static (inside,outside) tcp 192.168.1.3 ssh 10.1.1.50 ssh netmask 255.255.255.255 0 0
>static (inside,outside) tcp 192.168.1.3 www 10.1.1.50 www netmask 255.255.255.255 0 0

Это никак не повлияло на ситуацию...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "PIX 515E не пускает с outside на inside"  +/
Сообщение от huk on 07-Июл-09, 21:15 
>[оверквотинг удален]
>0 SYN Timeout
>302013: Built inbound TCP connection 218 for outside:192.168.1.2/52875(192.168.1.2/52875) to inside:10.1.1.50/80 (192.168.1.1/80)
>302014: Teardown TCP connection 217 for outside:192.168.1.2/60362 to inside:10.1.1.50/80 duration 0:02:01 bytes
>0 SYN Timeout
>302014: Teardown TCP connection 218 for outside:192.168.1.2/52875 to inside:10.1.1.50/80 duration 0:02:01 bytes
>0 SYN Timeout
>305012: Teardown static TCP translation from inside:10.1.1.50/80 to outside:192.168.1.1/80 duration 0:04:36
>
>Уже иссякла всяческая фантазия на тему что не так... Кто чем может...
>

Покажите настройки на интерфейсах inside и outside, особенно интересует параметр security-level.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "PIX 515E не пускает с outside на inside"  +/
Сообщение от huk on 07-Июл-09, 21:18 
>[оверквотинг удален]
>>302014: Teardown TCP connection 217 for outside:192.168.1.2/60362 to inside:10.1.1.50/80 duration 0:02:01 bytes
>>0 SYN Timeout
>>302014: Teardown TCP connection 218 for outside:192.168.1.2/52875 to inside:10.1.1.50/80 duration 0:02:01 bytes
>>0 SYN Timeout
>>305012: Teardown static TCP translation from inside:10.1.1.50/80 to outside:192.168.1.1/80 duration 0:04:36
>>
>>Уже иссякла всяческая фантазия на тему что не так... Кто чем может...
>>
>
>Покажите настройки на интерфейсах inside и outside, особенно интересует параметр security-level.

а заодно скажите версию операционки...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "PIX 515E не пускает с outside на inside"  +/
Сообщение от Цыс (ok) on 07-Июл-09, 23:37 
>[оверквотинг удален]
>>>302014: Teardown TCP connection 218 for outside:192.168.1.2/52875 to inside:10.1.1.50/80 duration 0:02:01 bytes
>>>0 SYN Timeout
>>>305012: Teardown static TCP translation from inside:10.1.1.50/80 to outside:192.168.1.1/80 duration 0:04:36
>>>
>>>Уже иссякла всяческая фантазия на тему что не так... Кто чем может...
>>>
>>
>>Покажите настройки на интерфейсах inside и outside, особенно интересует параметр security-level.
>
>а заодно скажите версию операционки...

Пишу по памяти из дома)

ethernet0 outside security level 0 ip address 192.168.1.1 netmask 255.255.255.0 line protocol up 100000 kb full duplex
ethernet1 inside security level 100 ip address 10.1.1.254 netmask 255.0.0.0 line protocol up 100000 kb full duplex

IOS 6.3(4)

В конце дня, после камланий с бубном над аксес листами, сам не знаю как заработало ссш снаружи внутрь, поменял ip в static чтобы попробовать с другим компом, все вернулось на круги своя, вернул обратно как было, когда работало, но больше не заработало... мистика...


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "PIX 515E не пускает с outside на inside"  +/
Сообщение от huk on 08-Июл-09, 01:00 
>[оверквотинг удален]
>up 100000 kb full duplex
>ethernet1 inside security level 100 ip address 10.1.1.254 netmask 255.0.0.0 line protocol
>up 100000 kb full duplex
>
>IOS 6.3(4)
>
>В конце дня, после камланий с бубном над аксес листами, сам не
>знаю как заработало ссш снаружи внутрь, поменял ip в static чтобы
>попробовать с другим компом, все вернулось на круги своя, вернул обратно
>как было, когда работало, но больше не заработало... мистика...

Мой совет, добавьте туда памяти (там обычная планка памяти 128 мегабайт нужна) и обновитесь до 8-й версии, 6.3 уже неактуально...
Вообще, не помню как в 6.3, а начиная с 7-й версии в аксес-листах есть параметр extended, который идет после permit....
Так вот, на 7-ке и 8-ке, когда используется расширенный список доступа, то все работает прекрасно, сам с 515-й недавно настраивал...
А вот чего нехватает в версии 6.3 - трудно сказать... вроде бы в целом все правильно... попробуйте писать в аксес-листах не от any к any, а от any к конкретному адресу, который через статик выставляется...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "PIX 515E не пускает с outside на inside"  +/
Сообщение от huk on 08-Июл-09, 01:02 
>[оверквотинг удален]
>Мой совет, добавьте туда памяти (там обычная планка памяти 128 мегабайт нужна)
>и обновитесь до 8-й версии, 6.3 уже неактуально...
>Вообще, не помню как в 6.3, а начиная с 7-й версии в
>аксес-листах есть параметр extended, который идет после permit....
>Так вот, на 7-ке и 8-ке, когда используется расширенный список доступа, то
>все работает прекрасно, сам с 515-й недавно настраивал...
>А вот чего нехватает в версии 6.3 - трудно сказать... вроде бы
>в целом все правильно... попробуйте писать в аксес-листах не от any
>к any, а от any к конкретному адресу, который через статик
>выставляется...

И статик попробуйте написать не так:
static (inside,outside) tcp 192.168.1.3 ssh 10.1.1.50 ssh netmask 255.255.255.255 0 0
а просто так:
static (inside,outside) 192.168.1.3 10.1.1.50 netmask 255.255.255.255 0 0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "PIX 515E не пускает с outside на inside"  +/
Сообщение от huk on 08-Июл-09, 01:04 
>аксес-листах есть параметр extended, который идет после permit....

*перед permit, описался просто.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "PIX 515E не пускает с outside на inside"  +/
Сообщение от intellegent on 08-Июл-09, 10:27 
А на машине 10.1.1.50 есть firewall? А что в момент попытки установить соединение с хостом 10.1.1.50 на пиксе показывает команда sh xlate?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "PIX 515E не пускает с outside на inside"  +/
Сообщение от Цыс (ok) on 08-Июл-09, 17:46 
>А на машине 10.1.1.50 есть firewall? А что в момент попытки установить
>соединение с хостом 10.1.1.50 на пиксе показывает команда sh xlate?

теперь 10.1.1.50 будем называть 10.1.50.2 это роли не играет. Машина линуксовая фаервола нет.
sh xlate
PAT Global 192.168.1.3(22) Local 10.1.50.2(22)
Global 192.168.1.101 Local 10.1.50.8


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "PIX 515E не пускает с outside на inside"  +/
Сообщение от Цыс (ok) on 08-Июл-09, 19:36 
>А на машине 10.1.1.50 есть firewall? А что в момент попытки установить
>соединение с хостом 10.1.1.50 на пиксе показывает команда sh xlate?

если что 10.1.50.8 - это машина внутренней сети с которой я подключаюсь по ssh на 192.168.1.2 чтобы оттуда уже по ssh подключиться на что-нибудь еще во внутренней сети))  


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "PIX 515E не пускает с outside на inside"  +/
Сообщение от Цыс (ok) on 09-Июл-09, 14:25 
Итак, проблема решена! Залил IOS 7.2(2) и все заработало! Спасибо всем, принявшим участие. Вот рабочие конфиги:

Current IP Addresses:
Interface                Name                   IP address      Subnet mask
Method
Ethernet0                outside                192.168.1.1     255.255.255.0
CONFIG
Ethernet1                inside                 10.1.1.254      255.0.0.0
CONFIG

static (inside,outside) tcp 192.168.1.3 ssh 10.1.1.50 ssh netmask 255.255.255.255
static (inside,outside) tcp 192.168.1.3 www 10.1.1.50 www netmask 255.255.255.255

access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)alert-interval 300
access-list from_out; 3 elements
access-list from_out line 1 extended permit icmp any any (hitcnt=2) 0xaa29b821
access-list from_out line 2 extended permit tcp any host 192.168.1.3 eq ssh (hitcnt=3) 0x5f1af284
access-list from_out line 3 extended permit tcp any host 192.168.1.3 eq www (hitcnt=1) 0xf6dca64d

access-group from_out in interface outside

nat (inside) 1 0.0.0.0 0.0.0.0

global (outside) 1 192.168.1.3

при этом есть доступ всем изнутри наружу по всем портам и всем снаружи внутрь по ссш и ввв на 192.168.1.3 (10.1.1.50)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру