forum.opennet.ru - "Cisco PIX 515E разделение доступа" (8)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Cisco PIX 515E разделение доступа"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Cisco PIX 515E разделение доступа"
Сообщение от Magor (ok) on 17-Авг-06, 08:59
Привет братья по разуму! И снова вопрос по наболевшей теме Cisco PIX. Есть конфиг. По конфигу все юзеры выходят в инет по A.B.C.1 шлюзу. Встала задача половина этих юзеров выкинуть с инета. Можно ли настроить определенный пул адрессов юзеров для выхода в инет, а также одиночные адреса. Юзеров в компании 200 чел. поэтому ходить и отключать у всех шлюз слишком запарно. : Written by enable_15 at 20:10:49.972 UTC Tue Aug 15 2006 PIX Version 6.3(4) interface ethernet0 100full interface ethernet1 100full interface ethernet2 auto shutdown interface ethernet3 auto shutdown interface ethernet4 auto shutdown interface ethernet5 auto shutdown nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 intf2 security4 nameif ethernet3 intf3 security6 nameif ethernet4 intf4 security8 nameif ethernet5 intf5 security10 enable password xxxxxxxxxxxxxxxx encrypted passwd xxxxxxxxxxxxxxxxencrypted hostname pixfirewall domain-name ciscopix.com fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list inside_authentication_LOCAL permit tcp any any eq telnet access-list outside permit icmp any any pager lines 24 logging on logging timestamp logging console notifications logging trap alerts logging facility 17 logging device-id ipaddress inside mtu outside 1500 mtu inside 1500 mtu intf2 1500 mtu intf3 1500 mtu intf4 1500 mtu intf5 1500 ip address outside Q.W.E.22 Z.X.S.252 ip address inside A.B.C.1 Z.X.S.0 no ip address intf2 no ip address intf3 no ip address intf4 no ip address intf5 ip audit info action alarm ip audit attack action alarm no failover failover timeout 0:00:00 failover poll 15 no failover ip address outside no failover ip address inside no failover ip address intf2 no failover ip address intf3 no failover ip address intf4 no failover ip address intf5 pdm history enable arp timeout 14400 global (outside) 10 interface nat (inside) 10 A.B.C.0 Z.X.S.0 0 0 access-group outside in interface outside route outside 0.0.0.0 0.0.0.0 Q.W.E.21 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local aaa authentication match inside_authentication_LOCAL inside LOCAL no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable telnet A.B.C.166 Z.X.S.255 inside telnet timeout 5 ssh timeout 5 console timeout 0 dhcpd lease 3600 dhcpd ping_timeout 750 dhcpd auto_config outside terminal width 80 pixfirewall# Подскажите решение. Что означают эти строки access-list inside_authentication_LOCAL permit tcp any any eq telnet route outside 0.0.0.0 0.0.0.0 Q.W.E.21 1 access-group outside in interface outside и отдельно access-list 101 permit ip 192.168.100.0 255.255.255.0 1.1.1.0 255.255.255.0 access-list 101 permit ip 192.168.100.0 255.255.255.0 host 1.1.1.0 что означает эта строчка и какая разница между (IP) и (HOST) global (outside) 1 192.168.100.100-192.168.100.200 nat (inside1) 1 192.168.1.151 255.255.255.255 0 0 Сразу прошу за разьяснениями на киску ком не отправлять. Спасибо жду ответов.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

Cisco PIX 515E разделение доступа, sh_, 10:05 , 17-Авг-06, (1)
Cisco PIX 515E разделение доступа, A.l.e.x.e.y., 10:57 , 17-Авг-06, (2)

Cisco PIX 515E разделение доступа, Magor, 11:34 , 17-Авг-06, (3)

Cisco PIX 515E разделение доступа, A.l.e.x.e.y., 11:53 , 17-Авг-06, (4)

Cisco PIX 515E разделение доступа, Magor, 13:21 , 17-Авг-06, (5)

Cisco PIX 515E разделение доступа, A.l.e.x.e.y., 13:34 , 17-Авг-06, (6)

Cisco PIX 515E разделение доступа, Magor, 14:06 , 17-Авг-06, (7)

Cisco PIX 515E разделение доступа, Magor, 15:49 , 17-Авг-06, (8)

Сообщения по теме [Сортировка по времени, UBB]

1. "Cisco PIX 515E разделение доступа"

Сообщение от sh_ (??) on 17-Авг-06, 10:05

Ух... Вопрос не понял, но по командам отвечу.
access-list inside_authentication_LOCAL permit tcp any any eq telnet
acl, разрешающий прохождение пакетов с любого адреса на любой на 23 tcp порт
route outside 0.0.0.0 0.0.0.0 Q.W.E.21 1
дефолтный маршрут на адрес Q.W.E.21 с метрикой 1
access-group outside in interface outside
применяем acl outside к интерфейсу outside во входящем направлении
access-list 101 permit ip 192.168.100.0 255.255.255.0 1.1.1.0 255.255.255.0
acl, разрешающий прохождение ip пакетов из сети 192.168.100.0 255.255.255.0 в сеть 1.1.1.0 255.255.255.0
access-list 101 permit ip 192.168.100.0 255.255.255.0 host 1.1.1.0
что означает эта строчка и какая разница между (IP) и (HOST)
host 1.1.1.0 аналогично записи 1.1.1.0 255.255.255.255

global (outside) 1 192.168.100.100-192.168.100.200
nat (inside1) 1 192.168.1.151 255.255.255.255 0 0
А этой строчкой адреса на интерфейсе inside1 транслируются в адреса на интерфейсе outside.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Cisco PIX 515E разделение доступа"

Сообщение от A.l.e.x.e.y. on 17-Авг-06, 10:57

>Привет братья по разуму!
>
>И снова вопрос по наболевшей теме Cisco PIX.
>Есть конфиг. По конфигу все юзеры выходят в инет по A.B.C.1 шлюзу.
>Встала задача половина этих юзеров выкинуть с инета. Можно ли настроить
>определенный пул адрессов юзеров для выхода в инет, а также одиночные
>адреса.
>Юзеров в компании 200 чел. поэтому ходить и отключать у всех шлюз
>слишком запарно.
>
>: Written by enable_15 at 20:10:49.972 UTC Tue Aug 15 2006
>PIX Version 6.3(4)
>interface ethernet0 100full
>interface ethernet1 100full
>interface ethernet2 auto shutdown
>interface ethernet3 auto shutdown
>interface ethernet4 auto shutdown
>interface ethernet5 auto shutdown
>nameif ethernet0 outside security0
>nameif ethernet1 inside security100
>nameif ethernet2 intf2 security4
>nameif ethernet3 intf3 security6
>nameif ethernet4 intf4 security8
>nameif ethernet5 intf5 security10
>enable password xxxxxxxxxxxxxxxx encrypted
>passwd xxxxxxxxxxxxxxxxencrypted
>hostname pixfirewall
>domain-name ciscopix.com
>fixup protocol dns maximum-length 512
>fixup protocol ftp 21
>fixup protocol h323 h225 1720
>fixup protocol h323 ras 1718-1719
>fixup protocol http 80
>fixup protocol rsh 514
>fixup protocol rtsp 554
>fixup protocol sip 5060
>fixup protocol sip udp 5060
>fixup protocol skinny 2000
>fixup protocol smtp 25
>fixup protocol sqlnet 1521
>fixup protocol tftp 69
>names
>access-list inside_authentication_LOCAL permit tcp any any eq telnet
>access-list outside permit icmp any any
>pager lines 24
>logging on
>logging timestamp
>logging console notifications
>logging trap alerts
>logging facility 17
>logging device-id ipaddress inside
>mtu outside 1500
>mtu inside 1500
>mtu intf2 1500
>mtu intf3 1500
>mtu intf4 1500
>mtu intf5 1500
>ip address outside Q.W.E.22 Z.X.S.252
>ip address inside A.B.C.1 Z.X.S.0
>no ip address intf2
>no ip address intf3
>no ip address intf4
>no ip address intf5
>ip audit info action alarm
>ip audit attack action alarm
>no failover
>failover timeout 0:00:00
>failover poll 15
>no failover ip address outside
>no failover ip address inside
>no failover ip address intf2
>no failover ip address intf3
>no failover ip address intf4
>no failover ip address intf5
>pdm history enable
>arp timeout 14400
>global (outside) 10 interface
>nat (inside) 10 A.B.C.0 Z.X.S.0 0 0
>access-group outside in interface outside
>route outside 0.0.0.0 0.0.0.0 Q.W.E.21 1
>timeout xlate 3:00:00
>timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
>timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
>timeout uauth 0:05:00 absolute
>aaa-server TACACS+ protocol tacacs+
>aaa-server TACACS+ max-failed-attempts 3
>aaa-server TACACS+ deadtime 10
>aaa-server RADIUS protocol radius
>aaa-server RADIUS max-failed-attempts 3
>aaa-server RADIUS deadtime 10
>aaa-server LOCAL protocol local
>aaa authentication match inside_authentication_LOCAL inside LOCAL
>no snmp-server location
>no snmp-server contact
>snmp-server community public
>no snmp-server enable traps
>floodguard enable
>telnet A.B.C.166 Z.X.S.255 inside
>telnet timeout 5
>ssh timeout 5
>console timeout 0
>dhcpd lease 3600
>dhcpd ping_timeout 750
>dhcpd auto_config outside
>terminal width 80
>pixfirewall#
>
>Подскажите решение.
>
>
>Что означают эти строки
>access-list inside_authentication_LOCAL permit tcp any any eq telnet
>route outside 0.0.0.0 0.0.0.0 Q.W.E.21 1
>access-group outside in interface outside
>
>и отдельно
>access-list 101 permit ip 192.168.100.0 255.255.255.0 1.1.1.0 255.255.255.0
>
>access-list 101 permit ip 192.168.100.0 255.255.255.0 host 1.1.1.0
>что означает эта строчка и какая разница между (IP) и (HOST)
>
>global (outside) 1 192.168.100.100-192.168.100.200
>
>nat (inside1) 1 192.168.1.151 255.255.255.255 0 0
>
>Сразу прошу за разьяснениями на киску ком не отправлять.
>
>Спасибо жду ответов.
надо настроить access-lists, чтото типа того
access-list 101 permit ip <ip кому можно> <маска> any
access-list 101 deny ip <ip кому нельзя> <маска> any
access-group 101 in interface inside
и еще правильно настроить нат
global (outside) 1 <диапазон адресов, выданных провайдером> netmask <маска>
nat (inside) 1 <ip кому можно> <маска> 0 0

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Cisco PIX 515E разделение доступа"

Сообщение от Magor (ok) on 17-Авг-06, 11:34

>надо настроить access-lists, чтото типа того
>access-list 101 permit ip <ip кому можно> <маска> any
>access-list 101 deny ip <ip кому нельзя> <маска> any
>access-group 101 in interface inside
а если так:
access-list 101 deny ip any any
access-list 101 permit ip <ip кому можно> <маска> any
access-group 101 in interface inside
>nat (inside) 1 <ip кому можно> <маска> 0 0
<ip кому можно> - т.е указать IP для шлюза к примеру 192.168.2.1
а как насчет пула адресов транслируемых с inside в outside?
Спасибо жду ответов.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Cisco PIX 515E разделение доступа"

Сообщение от A.l.e.x.e.y. on 17-Авг-06, 11:53

>>надо настроить access-lists, чтото типа того
>>access-list 101 permit ip <ip кому можно> <маска> any
>>access-list 101 deny ip <ip кому нельзя> <маска> any
>>access-group 101 in interface inside
>
>а если так:
>access-list 101 deny ip any any
>access-list 101 permit ip <ip кому можно> <маска> any
>access-group 101 in interface inside
>
>>nat (inside) 1 <ip кому можно> <маска> 0 0
><ip кому можно> - т.е указать IP для шлюза к примеру 192.168.2.1
>
>а как насчет пула адресов транслируемых с inside в outside?
>
>Спасибо жду ответов.

если поставишь access-list 101 deny ip any any, то закроешь всем инет, т.к. правила проверяются до первого совпадения, так что лучше в конец поставь (точно не помню но помоему если на интерфейсе есть acl то deny ip any any добавляется в конец по умолчанию, так что можно вообще не писать)
<ip кому можно> не адрес шлюза, а адрес машин из внутренней сети с которых можно ходить в инет.
>а как насчет пула адресов транслируемых с inside в outside?
>
пул адресов и задется командой global
у вас в нем будет только 1 адрес - адрес outside интерфейса (т.к. маска .252)
global (outside) 1 Q.W.E.22 netmask 255.255.255.255

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Cisco PIX 515E разделение доступа"

Сообщение от Magor (ok) on 17-Авг-06, 13:21

Если у юзеров IP 192.168.A.30/250 и в нате прописан IP 192.168.A.0 то (A.0) говорит нату о трансляции IP-ишников юзеров c подсеткой (A) я правильно понял?
><ip кому можно> не адрес шлюза, а адрес машин из внутренней сети с которых можно ходить в инет.
если мне надо дать доступ 100 юзерам из 200, то что мне 100 строк с командой нат надо прописывать в конфиге

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "Cisco PIX 515E разделение доступа"

Сообщение от A.l.e.x.e.y. on 17-Авг-06, 13:34

>Если у юзеров IP 192.168.A.30/250 и в нате прописан IP 192.168.A.0 то
>(A.0) говорит нату о трансляции IP-ишников юзеров c подсеткой (A) я
>правильно понял?
>
>><ip кому можно> не адрес шлюза, а адрес машин из внутренней сети с которых можно ходить в инет.
>
>если мне надо дать доступ 100 юзерам из 200, то что мне
>100 строк с командой нат надо прописывать в конфиге

Во-превых маски /250 не бывает.
Во-вторых в команде nat не зря отведено поле под маску.
Вам нужно написать
nat (inside) 1 192.168.A.0 255.255.255.0 чтоб разрешить нат для всей сети 192.168.A.0,
те кому не положено лезть в инет будут отрубаться access-listами, кому положено свободно проходить.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "Cisco PIX 515E разделение доступа"

Сообщение от Magor (ok) on 17-Авг-06, 14:06

>Если у юзеров IP 192.168.A.30/250
192.168.A.30/250- я имел ввиду пул от 30 до 250
ладно с нат разобрались
в access-list моно задавать пул типа 192.168.A.30-192.168.A.250 или что мне ручками вбивать все 100 явных IP юзеров

Спасибо жду ответов.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "Cisco PIX 515E разделение доступа"

Сообщение от Magor (ok) on 17-Авг-06, 15:49

Спасибо всем за ответы.
Отдельное спасибо A.l.e.x.e.y.
Я думаю начальным цискоманам будет интересна эта страничка.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Cisco PIX 515E разделение доступа"
Сообщение от sh_ (??) on 17-Авг-06, 10:05
Ух... Вопрос не понял, но по командам отвечу. access-list inside_authentication_LOCAL permit tcp any any eq telnet acl, разрешающий прохождение пакетов с любого адреса на любой на 23 tcp порт route outside 0.0.0.0 0.0.0.0 Q.W.E.21 1 дефолтный маршрут на адрес Q.W.E.21 с метрикой 1 access-group outside in interface outside применяем acl outside к интерфейсу outside во входящем направлении access-list 101 permit ip 192.168.100.0 255.255.255.0 1.1.1.0 255.255.255.0 acl, разрешающий прохождение ip пакетов из сети 192.168.100.0 255.255.255.0 в сеть 1.1.1.0 255.255.255.0 access-list 101 permit ip 192.168.100.0 255.255.255.0 host 1.1.1.0 что означает эта строчка и какая разница между (IP) и (HOST) host 1.1.1.0 аналогично записи 1.1.1.0 255.255.255.255 global (outside) 1 192.168.100.100-192.168.100.200 nat (inside1) 1 192.168.1.151 255.255.255.255 0 0 А этой строчкой адреса на интерфейсе inside1 транслируются в адреса на интерфейсе outside.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

2. "Cisco PIX 515E разделение доступа"
Сообщение от A.l.e.x.e.y. on 17-Авг-06, 10:57
>Привет братья по разуму! > >И снова вопрос по наболевшей теме Cisco PIX. >Есть конфиг. По конфигу все юзеры выходят в инет по A.B.C.1 шлюзу. >Встала задача половина этих юзеров выкинуть с инета. Можно ли настроить >определенный пул адрессов юзеров для выхода в инет, а также одиночные >адреса. >Юзеров в компании 200 чел. поэтому ходить и отключать у всех шлюз >слишком запарно. > >: Written by enable_15 at 20:10:49.972 UTC Tue Aug 15 2006 >PIX Version 6.3(4) >interface ethernet0 100full >interface ethernet1 100full >interface ethernet2 auto shutdown >interface ethernet3 auto shutdown >interface ethernet4 auto shutdown >interface ethernet5 auto shutdown >nameif ethernet0 outside security0 >nameif ethernet1 inside security100 >nameif ethernet2 intf2 security4 >nameif ethernet3 intf3 security6 >nameif ethernet4 intf4 security8 >nameif ethernet5 intf5 security10 >enable password xxxxxxxxxxxxxxxx encrypted >passwd xxxxxxxxxxxxxxxxencrypted >hostname pixfirewall >domain-name ciscopix.com >fixup protocol dns maximum-length 512 >fixup protocol ftp 21 >fixup protocol h323 h225 1720 >fixup protocol h323 ras 1718-1719 >fixup protocol http 80 >fixup protocol rsh 514 >fixup protocol rtsp 554 >fixup protocol sip 5060 >fixup protocol sip udp 5060 >fixup protocol skinny 2000 >fixup protocol smtp 25 >fixup protocol sqlnet 1521 >fixup protocol tftp 69 >names >access-list inside_authentication_LOCAL permit tcp any any eq telnet >access-list outside permit icmp any any >pager lines 24 >logging on >logging timestamp >logging console notifications >logging trap alerts >logging facility 17 >logging device-id ipaddress inside >mtu outside 1500 >mtu inside 1500 >mtu intf2 1500 >mtu intf3 1500 >mtu intf4 1500 >mtu intf5 1500 >ip address outside Q.W.E.22 Z.X.S.252 >ip address inside A.B.C.1 Z.X.S.0 >no ip address intf2 >no ip address intf3 >no ip address intf4 >no ip address intf5 >ip audit info action alarm >ip audit attack action alarm >no failover >failover timeout 0:00:00 >failover poll 15 >no failover ip address outside >no failover ip address inside >no failover ip address intf2 >no failover ip address intf3 >no failover ip address intf4 >no failover ip address intf5 >pdm history enable >arp timeout 14400 >global (outside) 10 interface >nat (inside) 10 A.B.C.0 Z.X.S.0 0 0 >access-group outside in interface outside >route outside 0.0.0.0 0.0.0.0 Q.W.E.21 1 >timeout xlate 3:00:00 >timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 >timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 >timeout uauth 0:05:00 absolute >aaa-server TACACS+ protocol tacacs+ >aaa-server TACACS+ max-failed-attempts 3 >aaa-server TACACS+ deadtime 10 >aaa-server RADIUS protocol radius >aaa-server RADIUS max-failed-attempts 3 >aaa-server RADIUS deadtime 10 >aaa-server LOCAL protocol local >aaa authentication match inside_authentication_LOCAL inside LOCAL >no snmp-server location >no snmp-server contact >snmp-server community public >no snmp-server enable traps >floodguard enable >telnet A.B.C.166 Z.X.S.255 inside >telnet timeout 5 >ssh timeout 5 >console timeout 0 >dhcpd lease 3600 >dhcpd ping_timeout 750 >dhcpd auto_config outside >terminal width 80 >pixfirewall# > >Подскажите решение. > > >Что означают эти строки >access-list inside_authentication_LOCAL permit tcp any any eq telnet >route outside 0.0.0.0 0.0.0.0 Q.W.E.21 1 >access-group outside in interface outside > >и отдельно >access-list 101 permit ip 192.168.100.0 255.255.255.0 1.1.1.0 255.255.255.0 > >access-list 101 permit ip 192.168.100.0 255.255.255.0 host 1.1.1.0 >что означает эта строчка и какая разница между (IP) и (HOST) > >global (outside) 1 192.168.100.100-192.168.100.200 > >nat (inside1) 1 192.168.1.151 255.255.255.255 0 0 > >Сразу прошу за разьяснениями на киску ком не отправлять. > >Спасибо жду ответов. надо настроить access-lists, чтото типа того access-list 101 permit ip <ip кому можно> <маска> any access-list 101 deny ip <ip кому нельзя> <маска> any access-group 101 in interface inside и еще правильно настроить нат global (outside) 1 <диапазон адресов, выданных провайдером> netmask <маска> nat (inside) 1 <ip кому можно> <маска> 0 0
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "Cisco PIX 515E разделение доступа"
	Сообщение от Magor (ok) on 17-Авг-06, 11:34
	>надо настроить access-lists, чтото типа того >access-list 101 permit ip <ip кому можно> <маска> any >access-list 101 deny ip <ip кому нельзя> <маска> any >access-group 101 in interface inside а если так: access-list 101 deny ip any any access-list 101 permit ip <ip кому можно> <маска> any access-group 101 in interface inside >nat (inside) 1 <ip кому можно> <маска> 0 0 <ip кому можно> - т.е указать IP для шлюза к примеру 192.168.2.1 а как насчет пула адресов транслируемых с inside в outside? Спасибо жду ответов.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "Cisco PIX 515E разделение доступа"
	Сообщение от A.l.e.x.e.y. on 17-Авг-06, 11:53
	>>надо настроить access-lists, чтото типа того >>access-list 101 permit ip <ip кому можно> <маска> any >>access-list 101 deny ip <ip кому нельзя> <маска> any >>access-group 101 in interface inside > >а если так: >access-list 101 deny ip any any >access-list 101 permit ip <ip кому можно> <маска> any >access-group 101 in interface inside > >>nat (inside) 1 <ip кому можно> <маска> 0 0 ><ip кому можно> - т.е указать IP для шлюза к примеру 192.168.2.1 > >а как насчет пула адресов транслируемых с inside в outside? > >Спасибо жду ответов. если поставишь access-list 101 deny ip any any, то закроешь всем инет, т.к. правила проверяются до первого совпадения, так что лучше в конец поставь (точно не помню но помоему если на интерфейсе есть acl то deny ip any any добавляется в конец по умолчанию, так что можно вообще не писать) <ip кому можно> не адрес шлюза, а адрес машин из внутренней сети с которых можно ходить в инет. >а как насчет пула адресов транслируемых с inside в outside? > пул адресов и задется командой global у вас в нем будет только 1 адрес - адрес outside интерфейса (т.к. маска .252) global (outside) 1 Q.W.E.22 netmask 255.255.255.255
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	5. "Cisco PIX 515E разделение доступа"
	Сообщение от Magor (ok) on 17-Авг-06, 13:21
	Если у юзеров IP 192.168.A.30/250 и в нате прописан IP 192.168.A.0 то (A.0) говорит нату о трансляции IP-ишников юзеров c подсеткой (A) я правильно понял? ><ip кому можно> не адрес шлюза, а адрес машин из внутренней сети с которых можно ходить в инет. если мне надо дать доступ 100 юзерам из 200, то что мне 100 строк с командой нат надо прописывать в конфиге
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	6. "Cisco PIX 515E разделение доступа"
	Сообщение от A.l.e.x.e.y. on 17-Авг-06, 13:34
	>Если у юзеров IP 192.168.A.30/250 и в нате прописан IP 192.168.A.0 то >(A.0) говорит нату о трансляции IP-ишников юзеров c подсеткой (A) я >правильно понял? > >><ip кому можно> не адрес шлюза, а адрес машин из внутренней сети с которых можно ходить в инет. > >если мне надо дать доступ 100 юзерам из 200, то что мне >100 строк с командой нат надо прописывать в конфиге Во-превых маски /250 не бывает. Во-вторых в команде nat не зря отведено поле под маску. Вам нужно написать nat (inside) 1 192.168.A.0 255.255.255.0 чтоб разрешить нат для всей сети 192.168.A.0, те кому не положено лезть в инет будут отрубаться access-listами, кому положено свободно проходить.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	7. "Cisco PIX 515E разделение доступа"
	Сообщение от Magor (ok) on 17-Авг-06, 14:06
	>Если у юзеров IP 192.168.A.30/250 192.168.A.30/250- я имел ввиду пул от 30 до 250 ладно с нат разобрались в access-list моно задавать пул типа 192.168.A.30-192.168.A.250 или что мне ручками вбивать все 100 явных IP юзеров Спасибо жду ответов.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	8. "Cisco PIX 515E разделение доступа"
	Сообщение от Magor (ok) on 17-Авг-06, 15:49
	Спасибо всем за ответы. Отдельное спасибо A.l.e.x.e.y. Я думаю начальным цискоманам будет интересна эта страничка.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]