forum.opennet.ru - "Помогите!!!! PIX 515 оргонизовать почтовик в DMZ" (38)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Помогите!!!! PIX 515 оргонизовать почтовик в DMZ"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Помогите!!!! PIX 515 оргонизовать почтовик в DMZ"
Сообщение от o_key on 02-Май-08, 13:17
Не могу пробросить 25 порт в DMZ вот конфиг - ПЛИЗ ХЕЛП уже не знаю что делать столько всего пробавал а ничего не выходит, посмотрите пожалуйсто где неправильно???? PIX Version 6.3(4) interface ethernet0 auto interface ethernet1 auto interface ethernet2 auto nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 intf2 security4 enable password MAZHpu0paIjUNeAN encrypted passwd MAZHpu0paIjUNeAN encrypted hostname PIX515 domain-name AK-Cisco fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names name 192.168.1.100 admin access-list acl_outbound permit tcp host xxx.xxx.xxx.212 any eq smtp access-list acl_outbound deny tcp any any eq smtp access-list acl_outbound permit ip any any access-list 101 permit tcp any host 10.10.10.200 eq smtp pager lines 24 mtu outside 1400 mtu inside 1500 mtu intf2 1500 ip address outside xxx.xxx.xxx.210 255.255.255.224 ip address inside 192.168.1.1 255.255.255.0 ip address intf2 10.10.10.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm location 192.168.1.220 255.255.255.255 inside pdm location admin 255.255.255.255 inside pdm history enable arp timeout 14400 global (outside) 1 xxx.xxx.xxx.211 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (intf2,outside) 10.10.10.200 xxx.xxx.xxx.212 netmask 255.255.255.255 0 0 access-group 101 in interface outside access-group acl_outbound in interface intf2 route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.193 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local aaa authentication enable console LOCAL aaa authentication ssh console LOCAL aaa authorization command LOCAL http server enable http 192.168.1.220 255.255.255.255 inside http admin 255.255.255.255 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable telnet timeout 5 ssh admin 255.255.255.255 inside ssh timeout 5 management-access inside console timeout 0 username root password idhYUMNmbaht7Bg3 encrypted privilege 15 privilege show level 0 command version privilege show level 0 command curpriv privilege show level 3 command pdm privilege show level 3 command blocks privilege show level 3 command ssh privilege configure level 3 command who privilege show level 3 command isakmp privilege show level 3 command ipsec privilege show level 3 command vpdn privilege show level 3 command local-host privilege show level 3 command interface privilege show level 3 command ip privilege configure level 3 command ping privilege show level 3 command uauth privilege configure level 5 mode enable command configure privilege show level 5 command running-config privilege show level 5 command privilege privilege show level 5 command clock privilege show level 5 command ntp privilege show level 5 mode configure command logging privilege show level 5 command fragment terminal width 80
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Помогите!!!! PIX 515 оргонизовать почтовик в DMZ, ВОЛКА, 13:37 , 02-Май-08, (1)

Помогите!!!! PIX 515 оргонизовать почтовик в DMZ, o_key, 14:16 , 02-Май-08, (2)
Помогите!!!! PIX 515 оргонизовать почтовик в DMZ, o_key, 14:18 , 02-Май-08, (3)

Помогите!!!! PIX 515 оргонизовать почтовик в DMZ, Nata, 16:07 , 02-Май-08, (4)

Помогите!!!! PIX 515 оргонизовать почтовик в DMZ, Nata, 16:13 , 02-Май-08, (5)

как проверить работает static или нет?, o_key, 18:53 , 03-Май-08, (6)

как проверить работает static или нет?, Nata, 23:04 , 04-Май-08, (7)

как проверить работает static или нет?, chesnok, 00:08 , 05-Май-08, (8)

как проверить работает static или нет?, Nata, 00:10 , 05-Май-08, (9)

как проверить работает static или нет?, chesnok, 00:53 , 05-Май-08, (10)

как проверить работает static или нет?, Nata, 01:01 , 05-Май-08, (11)

как проверить работает static или нет?, o_key, 22:41 , 06-Май-08, (12)

как проверить работает static или нет?, o_key, 08:30 , 07-Май-08, (13)

как проверить работает static или нет?, Nata, 10:51 , 07-Май-08, (14)

как проверить работает static или нет?, o_key, 12:41 , 07-Май-08, (15)

как проверить работает static или нет?, Nata, 13:06 , 07-Май-08, (16)

как проверить работает static или нет?, o_key, 18:21 , 07-Май-08, (20)

как проверить работает static или нет?, Nata, 13:25 , 07-Май-08, (17)

как проверить работает static или нет?, o_key, 18:10 , 07-Май-08, (18)
как проверить работает static или нет?, Nata, 18:20 , 07-Май-08, (19)
как проверить работает static или нет?, o_key, 18:28 , 07-Май-08, (21)
как проверить работает static или нет?, Nata, 18:36 , 07-Май-08, (22)
как проверить работает static или нет?, o_key, 18:38 , 07-Май-08, (23)
как проверить работает static или нет?, Nata, 19:06 , 07-Май-08, (24)
как проверить работает static или нет?, o_key, 08:10 , 09-Май-08, (25)
Подскажите где я ошибаюсь???????????????, o_key, 10:09 , 09-Май-08, (26)
всетаки проблема в нате, o_key, 10:18 , 09-Май-08, (27)
всетаки проблема в нате, Nata, 10:48 , 09-Май-08, (28)
всетаки проблема в нате, o_key, 12:09 , 09-Май-08, (30)
всетаки проблема в нате, Nata, 10:53 , 09-Май-08, (29)
всетаки проблема в нате, o_key, 12:19 , 09-Май-08, (31)
всетаки проблема в нате, Nata, 13:20 , 09-Май-08, (32)
всетаки проблема в нате, Nata, 13:23 , 09-Май-08, (33)
всетаки проблема в нате, o_key, 14:21 , 09-Май-08, (34)
всетаки проблема в нате, Nata, 14:30 , 09-Май-08, (35)
всетаки проблема в нате, o_key, 15:09 , 09-Май-08, (36)
всетаки проблема в нате, o_key, 11:23 , 11-Май-08, (37)
всетаки проблема в нате, Nata, 14:59 , 11-Май-08, (38)

Сообщения по теме [Сортировка по времени | RSS]

1. "Помогите!!!! PIX 515 оргонизовать почтовик в DMZ"

Сообщение от ВОЛКА (ok) on 02-Май-08, 13:37

что не получается то?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Помогите!!!! PIX 515 оргонизовать почтовик в DMZ"

Сообщение от o_key on 02-Май-08, 14:16

>что не получается то?
не пробрасывается 25 -ый порт в DMZ

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Помогите!!!! PIX 515 оргонизовать почтовик в DMZ"

Сообщение от o_key on 02-Май-08, 14:18

>что не получается то?
static не работает или я что то еще пропустил или не так сделал, вобщем из вне не получается подключиться к 25-му порту

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Помогите!!!! PIX 515 оргонизовать почтовик в DMZ"

Сообщение от Nata (??) on 02-Май-08, 16:07

>static не работает или я что то еще пропустил или не так
>сделал, вобщем из вне не получается подключиться к 25-му порту
Разбираемся с Вашим NAT'ом:
static (intf2,outside) 10.10.10.200 xxx.xxx.xxx.212 netmask 255.255.255.255 0 0
У Вас ошибка в правиле, должно быть так:
static (intf2,outside) xxx.xxx.xxx.212 10.10.10.200 netmask 255.255.255.255 0 0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Помогите!!!! PIX 515 оргонизовать почтовик в DMZ"

Сообщение от Nata (??) on 02-Май-08, 16:13

>>static не работает или я что то еще пропустил или не так
>>сделал, вобщем из вне не получается подключиться к 25-му порту
>
>У Вас ошибка в правиле, должно быть так:
>static (intf2,outside) xxx.xxx.xxx.212 10.10.10.200 netmask 255.255.255.255 0 0
Так уж задается NAT на PIX/ASA --- после указания интерфейсов (внутрен,внешн) сначала идет внешний адрес, потом внутренний.
Если хотите пробросить только 25 порт, то тогда Вам надо настроить NAT так:
static (intf2,outside) tcp xxx.xxx.xxx.212 25 10.10.10.200 25 netmask 255.255.255.255 0 0
или UDP порт:
static (intf2,outside) udp xxx.xxx.xxx.212 25 10.10.10.200 25 netmask 255.255.255.255 0 0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "как проверить работает static или нет?"

Сообщение от o_key on 03-Май-08, 18:53

>[оверквотинг удален]
>>static (intf2,outside) xxx.xxx.xxx.212 10.10.10.200 netmask 255.255.255.255 0 0
>
>Так уж задается NAT на PIX/ASA --- после указания интерфейсов (внутрен,внешн) сначала
>идет внешний адрес, потом внутренний.
>
>Если хотите пробросить только 25 порт, то тогда Вам надо настроить NAT
>так:
>static (intf2,outside) tcp xxx.xxx.xxx.212 25 10.10.10.200 25 netmask 255.255.255.255 0 0
> или UDP порт:
>static (intf2,outside) udp xxx.xxx.xxx.212 25 10.10.10.200 25 netmask 255.255.255.255 0 0
Прописал как Вы рекомендовали, только все равно не пашет, как вообще проверить статик? на консоли поставил дебаг всех acl листов и дебаг пакетов приходящих на 25 порт на outside интерфейсе и на intf2 когда пытаюсь подключиться снаруже к 25 порту вижу только входящий пакет, ни каких записей о пакете на интерфейсе intf2 или о acl - нет, отсяда делаю вывод - или я не правильно прописал дебаг или статик не работает и дело не доходит до acl.
Подскажите проверить работает ли статик???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "как проверить работает static или нет?"

Сообщение от Nata (??) on 04-Май-08, 23:04

>[оверквотинг удален]
>
>Прописал как Вы рекомендовали, только все равно не пашет, как вообще проверить
>статик? на консоли поставил дебаг всех acl листов и дебаг пакетов
>приходящих на 25 порт на outside интерфейсе и на intf2 когда
>пытаюсь подключиться снаруже к 25 порту вижу только входящий пакет, ни
>каких записей о пакете на интерфейсе intf2 или о acl -
>нет, отсяда делаю вывод - или я не правильно прописал дебаг
>или статик не работает и дело не доходит до acl.
>
>Подскажите проверить работает ли статик???
Вот тут уже я извиняюсь, недосмотрела немного конфиг.
Надо ACL подправить Вам еще.
Вместо:
access-list 101 permit tcp any host 10.10.10.200 eq smtp
Надо прописать:
access-list 101 permit tcp any host xxx.xxx.xxx.212 eq smtp
Потому что сначала применяется ACL к трафику, а потом происходит трансляция.
Чтобы проверить NAT посмотрите sh xlate. Насчет debug команд для NAT'а в асе не помню, но что-то должно быть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "как проверить работает static или нет?"

Сообщение от chesnok (ok) on 05-Май-08, 00:08

>[оверквотинг удален]
>Надо ACL подправить Вам еще.
>Вместо:
>access-list 101 permit tcp any host 10.10.10.200 eq smtp
>Надо прописать:
>access-list 101 permit tcp any host xxx.xxx.xxx.212 eq smtp
>
>Потому что сначала применяется ACL к трафику, а потом происходит трансляция.
>
>Чтобы проверить NAT посмотрите sh xlate. Насчет debug команд для NAT'а в
>асе не помню, но что-то должно быть.
а как бабу пустили к сетевому оборудованию?...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "как проверить работает static или нет?"

Сообщение от Nata (??) on 05-Май-08, 00:10

>[оверквотинг удален]
>>access-list 101 permit tcp any host 10.10.10.200 eq smtp
>>Надо прописать:
>>access-list 101 permit tcp any host xxx.xxx.xxx.212 eq smtp
>>
>>Потому что сначала применяется ACL к трафику, а потом происходит трансляция.
>>
>>Чтобы проверить NAT посмотрите sh xlate. Насчет debug команд для NAT'а в
>>асе не помню, но что-то должно быть.
>
>а как бабу пустили к сетевому оборудованию?...
Как как... Конечно с боями :)
Пришлось пробиваться к этим железным штукам :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "как проверить работает static или нет?"

Сообщение от chesnok (ok) on 05-Май-08, 00:53

>[оверквотинг удален]
>>>Потому что сначала применяется ACL к трафику, а потом происходит трансляция.
>>>
>>>Чтобы проверить NAT посмотрите sh xlate. Насчет debug команд для NAT'а в
>>>асе не помню, но что-то должно быть.
>>
>>а как бабу пустили к сетевому оборудованию?...
>
>Как как... Конечно с боями :)
>
>Пришлось пробиваться к этим железным штукам :)
ух как...
главное чтоб эти "железным штукам" не имели связности с публичной сетью...а то мало ли что...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "как проверить работает static или нет?"

Сообщение от Nata (??) on 05-Май-08, 01:01

>>>
>>>а как бабу пустили к сетевому оборудованию?...
>>
>>Как как... Конечно с боями :)
>>
>>Пришлось пробиваться к этим железным штукам :)
>
>ух как...
>главное чтоб эти "железным штукам" не имели связности с публичной сетью...а то
>мало ли что...
Откройте топик -- "бабы и сетевое оборудование", раз уж Вас это так волнует.
Тут вроде бы вопросы касались слегка не этой темы

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "как проверить работает static или нет?"

Сообщение от o_key on 06-Май-08, 22:41

>[оверквотинг удален]
>Надо ACL подправить Вам еще.
>Вместо:
>access-list 101 permit tcp any host 10.10.10.200 eq smtp
>Надо прописать:
>access-list 101 permit tcp any host xxx.xxx.xxx.212 eq smtp
>
>Потому что сначала применяется ACL к трафику, а потом происходит трансляция.
>
>Чтобы проверить NAT посмотрите sh xlate. Насчет debug команд для NAT'а в
>асе не помню, но что-то должно быть.
В книжке нашел описание немного другим способом с использованием как там написано без ACL а с помощью команды conduit permit tcp host xxx.xxx.xxx.212 eq smtp any
правда он почемуто тоже не работает :)
сейчас буду пробовать предложенный Вами вариант

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "как проверить работает static или нет?"

Сообщение от o_key on 07-Май-08, 08:30

>[оверквотинг удален]
>>Чтобы проверить NAT посмотрите sh xlate. Насчет debug команд для NAT'а в
>>асе не помню, но что-то должно быть.
>
>В книжке нашел описание немного другим способом с использованием как там написано
>без ACL а с помощью команды conduit permit tcp host xxx.xxx.xxx.212
>eq smtp any
>
>правда он почемуто тоже не работает :)
>
>сейчас буду пробовать предложенный Вами вариант
global (outside) 1 xxx.xxx.xxx.211-xxx.xxx.xxx.213
access-list 101 permit tcp any host xxx.xxx.xxx.212 eq smtp
static (intf2,outside) tcp xxx.xxx.xxx.212 smtp 10.10.10.200 smtp netmask 255.255.255.255 0 0
access-group 101 in interface outside
так не работает
поставил global (outside) 1 xxx.xxx.xxx.212
тоже не работает
Может есть у кого нибудь еще варианты?
debug access-list all
ни чего не показывает во время попытки соедениться
debug packet outside src any dst xxx.xxx.xxx.212 proto tcp sport any dport 25
эта команда видит входящие подключения но acl молчит - что то все таки не так
HELP!!!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "как проверить работает static или нет?"

Сообщение от Nata (??) on 07-Май-08, 10:51

>[оверквотинг удален]
>Может есть у кого нибудь еще варианты?
>
>debug access-list all
>ни чего не показывает во время попытки соедениться
>debug packet outside src any dst xxx.xxx.xxx.212 proto tcp sport any dport
>25
>эта команда видит входящие подключения но acl молчит - что то все
>таки не так
>
>HELP!!!
Раз пока ни у кого больше вариантов нет, то давайте опять пробуем разобраться.
Такая конфигурация не заработает:
global (outside) 1 xxx.xxx.xxx.211-xxx.xxx.xxx.213
access-list 101 permit tcp any host xxx.xxx.xxx.212 eq smtp
static (intf2,outside) tcp xxx.xxx.xxx.212 smtp 10.10.10.200 smtp netmask 255.255.255.255 0 0
access-group 101 in interface outside
________________
У Вас с самого начала global правило другое было, а теперь Вы его зачем-то исправили.
Попробуйте все-таки вот так:
global (outside) 1 xxx.xxx.xxx.211
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (intf2,outside) tcp xxx.xxx.xxx.212 smtp 10.10.10.200 smtp netmask 255.255.255.255 0 0
access-list 101 permit tcp any host xxx.xxx.xxx.212 eq smtp
access-group 101 in interface outside
И что Вы имеете ввиду когда говорите -- acl молчит?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "как проверить работает static или нет?"

Сообщение от o_key on 07-Май-08, 12:41

>[оверквотинг удален]
>
>У Вас с самого начала global правило другое было, а теперь Вы
>его зачем-то исправили.
>
>Попробуйте все-таки вот так:
>global (outside) 1 xxx.xxx.xxx.211
>nat (inside) 1 0.0.0.0 0.0.0.0 0 0
>static (intf2,outside) tcp xxx.xxx.xxx.212 smtp 10.10.10.200 smtp netmask 255.255.255.255 0 0
>access-list 101 permit tcp any host xxx.xxx.xxx.212 eq smtp
>access-group 101 in interface outside
не работает
>
>И что Вы имеете ввиду когда говорите -- acl молчит?
       debug access-list all
       я думаю эта команда должна выводить на консоль информацию о состоянии пакетов удовлетворяющих acl - или я не прав?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "как проверить работает static или нет?"

Сообщение от Nata (??) on 07-Май-08, 13:06

>не работает
>
>>
>>И что Вы имеете ввиду когда говорите -- acl молчит?
>
>       debug access-list all
>
>       я думаю эта команда должна
>выводить на консоль информацию о состоянии пакетов удовлетворяющих acl - или
>я не прав?
Выложите, пожалуйста, свой конфиг еще раз.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "как проверить работает static или нет?"

Сообщение от o_key on 07-Май-08, 18:21

>
>Выложите, пожалуйста, свой конфиг еще раз.
sh access-list
счетчик увеличивается, только доступ все равно получить не могу, может всетаки статик не работает
вот конфиг
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security4
enable password MAZHpu0paIjUNeAN encrypted
passwd MAZHpu0paIjUNeAN encrypted
hostname PIX515
domain-name AK-Cisco
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 192.168.1.100 admin
access-list 101 permit tcp any host xxx.xxx.xxx.212 eq smtp
pager lines 24
mtu outside 1400
mtu inside 1500
mtu intf2 1500
ip address outside xxx.xxx.xxx.210 255.255.255.224
ip address inside 192.168.1.1 255.255.255.0
ip address intf2 10.10.10.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.1.220 255.255.255.255 inside
pdm location admin 255.255.255.255 inside
pdm history enable
arp timeout 14400
global (outside) 1 xxx.xxx.xxx.211
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (intf2,outside) tcp xxx.xxx.xxx.212 smtp 10.10.10.200 smtp netmask 255.25
5.255.255 0 0
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.193 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
aaa authentication enable console LOCAL
aaa authentication ssh console LOCAL
aaa authorization command LOCAL
http server enable
http 192.168.1.220 255.255.255.255 inside
http admin 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh admin 255.255.255.255 inside
ssh timeout 5
management-access inside
console timeout 0
username root password idhYUMNmbaht7Bg3 encrypted privilege 15
privilege show level 0 command version
privilege show level 0 command curpriv
privilege show level 3 command pdm
privilege show level 3 command blocks
privilege show level 3 command ssh
privilege configure level 3 command who
privilege show level 3 command isakmp
privilege show level 3 command ipsec
privilege show level 3 command vpdn
privilege show level 3 command local-host
privilege show level 3 command interface
privilege show level 3 command ip
privilege configure level 3 command ping
privilege show level 3 command uauth
privilege configure level 5 mode enable command configure
privilege show level 5 command running-config
privilege show level 5 command privilege
privilege show level 5 command clock
privilege show level 5 command ntp
privilege show level 5 mode configure command logging
privilege show level 5 command fragment
terminal width 80

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "как проверить работает static или нет?"

Сообщение от Nata (??) on 07-Май-08, 13:25

>>И что Вы имеете ввиду когда говорите -- acl молчит?
>
>       debug access-list all
>
>       я думаю эта команда должна
>выводить на консоль информацию о состоянии пакетов удовлетворяющих acl - или
>я не прав?
У меня на PIX версия ОС 7.2, так что там даже такой команды нет. Но что-то она Вам выводить должна.
А счетчики на ACL срабатывают? Если просто show access-list сделать и посмотреть, срабатывают ли счетчики при генерации нужного Вам трафика.
А Вы обновить PIX не хотите? Там в 7.2 хорошая новая фича есть packet-tracer. Вам она легко поможет понять почему у Вас трафик не проходит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "как проверить работает static или нет?"

Сообщение от o_key on 07-Май-08, 18:10

>[оверквотинг удален]
>
>У меня на PIX версия ОС 7.2, так что там даже такой
>команды нет. Но что-то она Вам выводить должна.
>
>А счетчики на ACL срабатывают? Если просто show access-list сделать и посмотреть,
>срабатывают ли счетчики при генерации нужного Вам трафика.
>
>А Вы обновить PIX не хотите? Там в 7.2 хорошая новая фича
>есть packet-tracer. Вам она легко поможет понять почему у Вас трафик
>не проходит.
Я честно говоря даже не знаю как его обновить - полазил по нету так и не нашел ответ, буду признателен если подскажите

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "как проверить работает static или нет?"

Сообщение от Nata (??) on 07-Май-08, 18:20

>>А Вы обновить PIX не хотите? Там в 7.2 хорошая новая фича
>>есть packet-tracer. Вам она легко поможет понять почему у Вас трафик
>>не проходит.
>
>Я честно говоря даже не знаю как его обновить - полазил по
>нету так и не нашел ответ, буду признателен если подскажите
Обновить подскажу как, только прежде давайте разберемся. У Вас это рабочий PIX? То есть это реальное оборудование в офисе какой-то фирмы?
Спрашиваю потому что при обновлении некоторые вещи придется заново настраивать. То есть какое-то время Ваш PIX считайте будет неработоспособен.
Синтаксис команд просто в новых версиях поменялся. Если готовы обновляться и потом настраивать его, то тогда пишите.
После этого Вам опишу всю процедуру. И постараюсь помочь с настройками на новой версии ОС.
Если на такое не готовы, то попробуем разобраться с тем, что есть.
Но вообще обновиться стОит. Только, возможно, Вам для этого нужно выбрать время подходящее.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "как проверить работает static или нет?"

Сообщение от o_key on 07-Май-08, 18:28

>[оверквотинг удален]
>настраивать его, то тогда пишите.
>
>После этого Вам опишу всю процедуру. И постараюсь помочь с настройками на
>новой версии ОС.
>
>Если на такое не готовы, то попробуем разобраться с тем, что есть.
>
>
>Но вообще обновиться стОит. Только, возможно, Вам для этого нужно выбрать время
>подходящее.
Спасибо за помощь!!!!
Обновлюсь хоть щас, там ничего страшного не завязано, он у емня в полупилотном состоянии работает :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "как проверить работает static или нет?"

Сообщение от Nata (??) on 07-Май-08, 18:36

>Обновлюсь хоть щас, там ничего страшного не завязано, он у емня в
>полупилотном состоянии работает :)
Пока скачайте отсюда новую ОС
http://www.4shared.com/file/24367456/e08ee700/pix722_2.html?s=1
и выложите ее на tftp-сервере где-то у себя.
На всякий случай пришлите, пожалуйста, show version Вашего PIX'а

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "как проверить работает static или нет?"

Сообщение от o_key on 07-Май-08, 18:38

>>Обновлюсь хоть щас, там ничего страшного не завязано, он у емня в
>>полупилотном состоянии работает :)
>
>Пока скачайте отсюда новую ОС
>http://www.4shared.com/file/24367456/e08ee700/pix722_2.html?s=1
>и выложите ее на tftp-сервере где-то у себя.
>
>На всякий случай пришлите, пожалуйста, show version Вашего PIX'а
Cisco PIX Firewall Version 6.3(4)
Cisco PIX Device Manager Version 3.0(2)
Compiled on Fri 02-Jul-04 00:07 by morlee
PIX515 up 10 hours 15 mins
Hardware:   PIX-515E, 128 MB RAM, CPU Pentium II 433 MHz
Flash E28F128J3 @ 0x300, 16MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB
0: ethernet0: address is 0014.a8ca.a429, irq 10
1: ethernet1: address is 0014.a8ca.a42a, irq 11
2: ethernet2: address is 000e.0c7f.1d18, irq 11
Licensed Features:
Failover:                    Disabled
VPN-DES:                     Enabled
VPN-3DES-AES:                Enabled
Maximum Physical Interfaces: 3
Maximum Interfaces:          5
Cut-through Proxy:           Enabled
Guards:                      Enabled
URL-filtering:               Enabled
Inside Hosts:                Unlimited
Throughput:                  Unlimited
IKE peers:                   Unlimited
This PIX has a Restricted (R) license.
Serial Number: 809254242 (0x303c3d62)
Running Activation Key: 0x89db8ad4 0xfc999720 0xeab5d0ee 0x71e7e219
Configuration last modified by root at 13:26:17.011 UTC Wed May 7 2008
PIX515(config)#

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "как проверить работает static или нет?"

Сообщение от Nata (??) on 07-Май-08, 19:06

Набросала Вам что делать тут:
http://xgu.ru/wiki/PIX
Если что-то непонятно, спрашивайте

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "как проверить работает static или нет?"

Сообщение от o_key on 09-Май-08, 08:10

>Набросала Вам что делать тут:
>
>http://xgu.ru/wiki/PIX
>
>Если что-то непонятно, спрашивайте
Обновил IOS до 7 2_2
Теперь не работает web интерфейс
sh nat выдал следующие результаты:
NAT policies on Interface inside:
  match ip inside 192.168.1.0 255.255.255.0 outside any
    dynamic translation to pool 1 (xxx.xxx.xxx.211)
    translate_hits = 4, untranslate_hits = 0
  match ip inside 192.168.1.0 255.255.255.0 inside any
    dynamic translation to pool 1 (No matching global)
    translate_hits = 0, untranslate_hits = 0
  match ip inside 192.168.1.0 255.255.255.0 intf2 any
    dynamic translation to pool 1 (No matching global)
    translate_hits = 0, untranslate_hits = 0
  match ip inside any outside any
    no translation group, implicit deny
    policy_hits = 0
  match ip inside any intf2 any
    no translation group, implicit deny
    policy_hits = 0
NAT policies on Interface intf2:
  match tcp intf2 host 10.10.10.200 eq 25 outside any
    static translation to xxx.xxx.xxx.212/25
    translate_hits = 0, untranslate_hits = 1
  match ip intf2 any outside any
    no translation group, implicit deny
    policy_hits = 0
PIX515(config)#
на интерфейсе intf2 как раз зафиксирована не транслированная попытка подключения на 25 порт, как бы выяснить что там не так?
Большое спасибо за IOS он поинтереснее будет, правда обновлялось все несколько иначе, комманд которые Вы написали вообще не было в старом.
И еще вопросик - все таки где бы взять теперь веб интерфейс управления устройством, не подскажите?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Подскажите где я ошибаюсь???????????????"

Сообщение от o_key on 09-Май-08, 10:09

>>Набросала Вам что делать тут:
>>
>>http://xgu.ru/wiki/PIX
>>
>>Если что-то непонятно, спрашивайте
>
Я попробывал packet-tracer судя по его данным у меня не проходят пакеты от outside интерфейса к intf2 причем это происходит по Implicit Rule т.е. мне нужно явным образом разрешить прохождение пакетов между интерфейсами и должно заработать. проблема в том что есть статик и на сколько я понял это прохождение должно им регулироваться.
Подскажите где я ошибаюсь???????????????
PIX515(config)# packet-tracer input intf2 tcp xxx.xxx.xxx.210 25 10.10.10.200 25
Phase: 1
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow
Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   10.10.10.0      255.255.255.0   Ethernet2
Phase: 3
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:
Forward Flow based lookup yields rule:
in  id=0x239add8, priority=111, domain=permit, deny=true
        hits=3, user_data=0x0, cs_id=0x0, flags=0x4000, protocol=0
        src ip=0.0.0.0, mask=0.0.0.0, port=0
        dst ip=0.0.0.0, mask=0.0.0.0, port=0
Result:
input-interface: intf2
input-status: up
input-line-status: up
output-interface: intf2
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "всетаки проблема в нате"

Сообщение от o_key on 09-Май-08, 10:18

packet-tracer input outside tcp ххх.ххх.ххх.215 25 ххх.ххх.ххх.210 25
Phase: 1
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow
Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
static (intf2,outside) tcp interface smtp 10.10.10.200 smtp netmask 255.255.255.
255
nat-control
  match tcp intf2 host 10.10.10.200 eq 25 outside any
    static translation to 213.211.116.210/25
    translate_hits = 0, untranslate_hits = 14
Additional Information:
NAT divert to egress interface Ethernet2
Untranslate ххх.ххх.ххх.210/25 to 10.10.10.200/25 using netmask 255.255.255.255
Phase: 3
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:
Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: intf2
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "всетаки проблема в нате"

Сообщение от Nata (??) on 09-Май-08, 10:48

>packet-tracer input outside tcp ххх.ххх.ххх.215 25 ххх.ххх.ххх.210 25
Проблема не в NAT'е, а в том, что ACL не пропускает.
А Вы поменяли свои правила static?
Почему Вы обращаетесь на адрес ххх.ххх.ххх.210?
Последнее правило статик у Вас было такое:
static (intf2,outside) tcp xxx.xxx.xxx.212 smtp 10.10.10.200 smtp netmask 255.255.255.255 0 0
То есть Вам надо:
packet-tracer input outside tcp ххх.ххх.ххх.215 25 ххх.ххх.ххх.212 25
Но при этом в ACL на outside интерфейсе тоже надо разрешить:
access-list 101 permit tcp any host xxx.xxx.xxx.212 eq smtp

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "всетаки проблема в нате"

Сообщение от o_key on 09-Май-08, 12:09

>[оверквотинг удален]
>Почему Вы обращаетесь на адрес ххх.ххх.ххх.210?
>
>Последнее правило статик у Вас было такое:
>static (intf2,outside) tcp xxx.xxx.xxx.212 smtp 10.10.10.200 smtp netmask 255.255.255.255 0 0
>
>То есть Вам надо:
>packet-tracer input outside tcp ххх.ххх.ххх.215 25 ххх.ххх.ххх.212 25
>
>Но при этом в ACL на outside интерфейсе тоже надо разрешить:
>access-list 101 permit tcp any host xxx.xxx.xxx.212 eq smtp
Поменял статик потому что в иосе 722 встречалась проблема с его работой и решением было  поменять в статик адрес на interface (это я в нете вычитал - думал что поможет, но проблема похоже не в этом
static (intf2,outside) tcp interface smtp 10.10.10.200 smtp netmask 255.255.255.255

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "всетаки проблема в нате"

Сообщение от Nata (??) on 09-Май-08, 10:53

>>packet-tracer input outside tcp ххх.ххх.ххх.215 25 ххх.ххх.ххх.210 25
Посмотрела, что у Вас адрес xxx.xxx.xxx.210 -- это адрес outside интрфейса:
ip address outside xxx.xxx.xxx.210 255.255.255.224
То есть Вы главное согласуйте правила статик нат и ACL

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "всетаки проблема в нате"

Сообщение от o_key on 09-Май-08, 12:19

>>>packet-tracer input outside tcp ххх.ххх.ххх.215 25 ххх.ххх.ххх.210 25
>
>Посмотрела, что у Вас адрес xxx.xxx.xxx.210 -- это адрес outside интрфейса:
>ip address outside xxx.xxx.xxx.210 255.255.255.224
>
>То есть Вы главное согласуйте правила статик нат и ACL
Вроде согласовал
access-list 101 extended permit tcp any host ххх.ххх.ххх.210 eq smtp
access-group 101 in interface outside
static (intf2,outside) tcp interface smtp 10.10.10.200 smtp netmask 255.255.255.
255
вот результат трэйсинга, в нем опять в фазе 2
NAT divert to egress interface Ethernet2
Untranslate xxx.xxx.xxx.210/25 to 10.10.10.200/25 using netmask 255.255.255.255
хотя дальше все вроде проходит и экшен в конце Allow но соединение все равно не устанавливается
Phase: 1
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow
Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
static (intf2,outside) tcp interface smtp 10.10.10.200 smtp netmask 255.255.255.
255
nat-control
  match tcp intf2 host 10.10.10.200 eq 25 outside any
    static translation to xxx.xxx.xxx.210/25
    translate_hits = 0, untranslate_hits = 19
Additional Information:
NAT divert to egress interface Ethernet2
Untranslate xxx.xxx.xxx.210/25 to 10.10.10.200/25 using netmask 255.255.255.255
Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group 101 in interface outside
access-list 101 extended permit tcp any host xxx.xxx.xxx.210 eq smtp
Additional Information:
Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 5
Type: INSPECT
Subtype: inspect-smtp
Result: ALLOW
Config:
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
  inspect esmtp _default_esmtp_map
service-policy global_policy global
Additional Information:
Phase: 6
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
static (intf2,outside) tcp interface smtp 10.10.10.200 smtp netmask 255.255.255.
255
nat-control
  match tcp intf2 host 10.10.10.200 eq 25 outside any
    static translation to xxx.xxx.xxx.210/25
    translate_hits = 0, untranslate_hits = 19
Additional Information:
Phase: 7
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (intf2,outside) tcp interface smtp 10.10.10.200 smtp netmask 255.255.255.
255
nat-control
  match tcp intf2 host 10.10.10.200 eq 25 outside any
    static translation to xxx.xxx.xxx.210/25
    translate_hits = 0, untranslate_hits = 19
Additional Information:
Phase: 8
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 9
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 133, packet dispatched to next module
Phase: 10
Type: ROUTE-LOOKUP
Subtype: output and adjacency
Result: ALLOW
Config:
Additional Information:
found next-hop 10.10.10.200 using egress ifc Ethernet2
adjacency Active
next-hop mac address 0010.5a3b.5138 hits 10
Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: intf2
output-status: up
output-line-status: up
Action: allow

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "всетаки проблема в нате"

Сообщение от Nata (??) on 09-Май-08, 13:20

>хотя дальше все вроде проходит и экшен в конце Allow но соединение
>все равно не устанавливается
>
Пока что всё проходит только в одну сторону. А Вы теперь запустите packet-tracer в обратном направлении.
Если, например, с outside в dmz вот так:
>>>packet-tracer input outside tcp ххх.ххх.ххх.215 25 ххх.ххх.ххх.210 25
То назад будет:
>>>packet-tracer input outside tcp 10.10.10.200 25 ххх.ххх.ххх.215 25
Просто проверьте пройдет ли через PIX трафик обратно

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "всетаки проблема в нате"

Сообщение от Nata (??) on 09-Май-08, 13:23

Ошиблась. Назад не так:
>То назад будет:
> >>>packet-tracer input outside tcp 10.10.10.200 25 ххх.ххх.ххх.215 25
>
так правильно:
>>>packet-tracer input intf2 tcp 10.10.10.200 25 ххх.ххх.ххх.215 25

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "всетаки проблема в нате"

Сообщение от o_key on 09-Май-08, 14:21

>Ошиблась. Назад не так:
>
>>То назад будет:
>> >>>packet-tracer input outside tcp 10.10.10.200 25 ххх.ххх.ххх.215 25
>>
>
>так правильно:
>>>>packet-tracer input intf2 tcp 10.10.10.200 25 ххх.ххх.ххх.215 25
Проходит.
Ничего не понимаю. Уже и сервер проверил т.е. если просто конектится к 10.10.10.200 на 25 порт все нормально, если через PIX опять не хочет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "всетаки проблема в нате"

Сообщение от Nata (??) on 09-Май-08, 14:30

>Проходит.
>
>Ничего не понимаю. Уже и сервер проверил т.е. если просто конектится к
>10.10.10.200 на 25 порт все нормально, если через PIX опять не
>хочет.
Тогда вопрос другой. А на сервере с маршрутами всё в порядке?
У Вас есть возможность на сервер wireshark поставить? Чтобы послушать на него доходит ли трафик. И соответственно, если доходит, то уходит ли

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "всетаки проблема в нате"

Сообщение от o_key on 09-Май-08, 15:09

>>Проходит.
>>
>>Ничего не понимаю. Уже и сервер проверил т.е. если просто конектится к
>>10.10.10.200 на 25 порт все нормально, если через PIX опять не
>>хочет.
>
>Тогда вопрос другой. А на сервере с маршрутами всё в порядке?
>
>У Вас есть возможность на сервер wireshark поставить? Чтобы послушать на него
>доходит ли трафик. И соответственно, если доходит, то уходит ли
Сервер у меня виндовый и на нем стоит ISA server 2004 и у меня нет софта который бы посмотрел доходят ли пакеты, но средствами самого иса сервера я проверил что порт функционирует и пробовал коннектится к нему.
Еще вопросик - у Вас какой стоит ASDM? Я скачал asdm-512, но он с этой версией иоса не работает, может подскажите где взять его для 7 2 2?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "всетаки проблема в нате"

Сообщение от o_key on 11-Май-08, 11:23

>>Проходит.
>>
>>Ничего не понимаю. Уже и сервер проверил т.е. если просто конектится к
>>10.10.10.200 на 25 порт все нормально, если через PIX опять не
>>хочет.
>
>Тогда вопрос другой. А на сервере с маршрутами всё в порядке?
>
>У Вас есть возможность на сервер wireshark поставить? Чтобы послушать на него
>доходит ли трафик. И соответственно, если доходит, то уходит ли
Нашел что до 10.10.10.200 паекеты доходят а вот назад не возвращаются

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "всетаки проблема в нате"

Сообщение от Nata (??) on 11-Май-08, 14:59

>>
>>У Вас есть возможность на сервер wireshark поставить? Чтобы послушать на него
>>доходит ли трафик. И соответственно, если доходит, то уходит ли
>
>Нашел что до 10.10.10.200 паекеты доходят а вот назад не возвращаются
На сервере есть default gateway? Он должен вернуть трафик назад. похоже, что пробема в этом, так как с асой Вы packet-tracer'ом проверили, что трафик проходит.
По поводу ASDM -- у меня, к сожалению, нет версии 5.2 (она как раз нужна для 7.2 ОС)
Есть 8.0 ОС и ASDM для нее. Тогда Вам придется еще раз обновляться :)
Или на просторах инета поискать ASDM.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Помогите!!!! PIX 515 оргонизовать почтовик в DMZ"
Сообщение от ВОЛКА (ok) on 02-Май-08, 13:37
что не получается то?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Помогите!!!! PIX 515 оргонизовать почтовик в DMZ"
	Сообщение от o_key on 02-Май-08, 14:16
	>что не получается то? не пробрасывается 25 -ый порт в DMZ
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Помогите!!!! PIX 515 оргонизовать почтовик в DMZ"
	Сообщение от o_key on 02-Май-08, 14:18
	>что не получается то? static не работает или я что то еще пропустил или не так сделал, вобщем из вне не получается подключиться к 25-му порту
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Помогите!!!! PIX 515 оргонизовать почтовик в DMZ"
	Сообщение от Nata (??) on 02-Май-08, 16:07
	>static не работает или я что то еще пропустил или не так >сделал, вобщем из вне не получается подключиться к 25-му порту Разбираемся с Вашим NAT'ом: static (intf2,outside) 10.10.10.200 xxx.xxx.xxx.212 netmask 255.255.255.255 0 0 У Вас ошибка в правиле, должно быть так: static (intf2,outside) xxx.xxx.xxx.212 10.10.10.200 netmask 255.255.255.255 0 0
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Помогите!!!! PIX 515 оргонизовать почтовик в DMZ"
	Сообщение от Nata (??) on 02-Май-08, 16:13
	>>static не работает или я что то еще пропустил или не так >>сделал, вобщем из вне не получается подключиться к 25-му порту > >У Вас ошибка в правиле, должно быть так: >static (intf2,outside) xxx.xxx.xxx.212 10.10.10.200 netmask 255.255.255.255 0 0 Так уж задается NAT на PIX/ASA --- после указания интерфейсов (внутрен,внешн) сначала идет внешний адрес, потом внутренний. Если хотите пробросить только 25 порт, то тогда Вам надо настроить NAT так: static (intf2,outside) tcp xxx.xxx.xxx.212 25 10.10.10.200 25 netmask 255.255.255.255 0 0 или UDP порт: static (intf2,outside) udp xxx.xxx.xxx.212 25 10.10.10.200 25 netmask 255.255.255.255 0 0
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "как проверить работает static или нет?"
	Сообщение от o_key on 03-Май-08, 18:53
	>[оверквотинг удален] >>static (intf2,outside) xxx.xxx.xxx.212 10.10.10.200 netmask 255.255.255.255 0 0 > >Так уж задается NAT на PIX/ASA --- после указания интерфейсов (внутрен,внешн) сначала >идет внешний адрес, потом внутренний. > >Если хотите пробросить только 25 порт, то тогда Вам надо настроить NAT >так: >static (intf2,outside) tcp xxx.xxx.xxx.212 25 10.10.10.200 25 netmask 255.255.255.255 0 0 > или UDP порт: >static (intf2,outside) udp xxx.xxx.xxx.212 25 10.10.10.200 25 netmask 255.255.255.255 0 0 Прописал как Вы рекомендовали, только все равно не пашет, как вообще проверить статик? на консоли поставил дебаг всех acl листов и дебаг пакетов приходящих на 25 порт на outside интерфейсе и на intf2 когда пытаюсь подключиться снаруже к 25 порту вижу только входящий пакет, ни каких записей о пакете на интерфейсе intf2 или о acl - нет, отсяда делаю вывод - или я не правильно прописал дебаг или статик не работает и дело не доходит до acl. Подскажите проверить работает ли статик???
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "как проверить работает static или нет?"
	Сообщение от Nata (??) on 04-Май-08, 23:04
	>[оверквотинг удален] > >Прописал как Вы рекомендовали, только все равно не пашет, как вообще проверить >статик? на консоли поставил дебаг всех acl листов и дебаг пакетов >приходящих на 25 порт на outside интерфейсе и на intf2 когда >пытаюсь подключиться снаруже к 25 порту вижу только входящий пакет, ни >каких записей о пакете на интерфейсе intf2 или о acl - >нет, отсяда делаю вывод - или я не правильно прописал дебаг >или статик не работает и дело не доходит до acl. > >Подскажите проверить работает ли статик??? Вот тут уже я извиняюсь, недосмотрела немного конфиг. Надо ACL подправить Вам еще. Вместо: access-list 101 permit tcp any host 10.10.10.200 eq smtp Надо прописать: access-list 101 permit tcp any host xxx.xxx.xxx.212 eq smtp Потому что сначала применяется ACL к трафику, а потом происходит трансляция. Чтобы проверить NAT посмотрите sh xlate. Насчет debug команд для NAT'а в асе не помню, но что-то должно быть.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "как проверить работает static или нет?"
	Сообщение от chesnok (ok) on 05-Май-08, 00:08
	>[оверквотинг удален] >Надо ACL подправить Вам еще. >Вместо: >access-list 101 permit tcp any host 10.10.10.200 eq smtp >Надо прописать: >access-list 101 permit tcp any host xxx.xxx.xxx.212 eq smtp > >Потому что сначала применяется ACL к трафику, а потом происходит трансляция. > >Чтобы проверить NAT посмотрите sh xlate. Насчет debug команд для NAT'а в >асе не помню, но что-то должно быть. а как бабу пустили к сетевому оборудованию?...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "как проверить работает static или нет?"
	Сообщение от Nata (??) on 05-Май-08, 00:10
	>[оверквотинг удален] >>access-list 101 permit tcp any host 10.10.10.200 eq smtp >>Надо прописать: >>access-list 101 permit tcp any host xxx.xxx.xxx.212 eq smtp >> >>Потому что сначала применяется ACL к трафику, а потом происходит трансляция. >> >>Чтобы проверить NAT посмотрите sh xlate. Насчет debug команд для NAT'а в >>асе не помню, но что-то должно быть. > >а как бабу пустили к сетевому оборудованию?... Как как... Конечно с боями :) Пришлось пробиваться к этим железным штукам :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "как проверить работает static или нет?"
	Сообщение от chesnok (ok) on 05-Май-08, 00:53
	>[оверквотинг удален] >>>Потому что сначала применяется ACL к трафику, а потом происходит трансляция. >>> >>>Чтобы проверить NAT посмотрите sh xlate. Насчет debug команд для NAT'а в >>>асе не помню, но что-то должно быть. >> >>а как бабу пустили к сетевому оборудованию?... > >Как как... Конечно с боями :) > >Пришлось пробиваться к этим железным штукам :) ух как... главное чтоб эти "железным штукам" не имели связности с публичной сетью...а то мало ли что...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "как проверить работает static или нет?"
	Сообщение от Nata (??) on 05-Май-08, 01:01
	>>> >>>а как бабу пустили к сетевому оборудованию?... >> >>Как как... Конечно с боями :) >> >>Пришлось пробиваться к этим железным штукам :) > >ух как... >главное чтоб эти "железным штукам" не имели связности с публичной сетью...а то >мало ли что... Откройте топик -- "бабы и сетевое оборудование", раз уж Вас это так волнует. Тут вроде бы вопросы касались слегка не этой темы
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "как проверить работает static или нет?"
	Сообщение от o_key on 06-Май-08, 22:41
	>[оверквотинг удален] >Надо ACL подправить Вам еще. >Вместо: >access-list 101 permit tcp any host 10.10.10.200 eq smtp >Надо прописать: >access-list 101 permit tcp any host xxx.xxx.xxx.212 eq smtp > >Потому что сначала применяется ACL к трафику, а потом происходит трансляция. > >Чтобы проверить NAT посмотрите sh xlate. Насчет debug команд для NAT'а в >асе не помню, но что-то должно быть. В книжке нашел описание немного другим способом с использованием как там написано без ACL а с помощью команды conduit permit tcp host xxx.xxx.xxx.212 eq smtp any правда он почемуто тоже не работает :) сейчас буду пробовать предложенный Вами вариант
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "как проверить работает static или нет?"
	Сообщение от o_key on 07-Май-08, 08:30
	>[оверквотинг удален] >>Чтобы проверить NAT посмотрите sh xlate. Насчет debug команд для NAT'а в >>асе не помню, но что-то должно быть. > >В книжке нашел описание немного другим способом с использованием как там написано >без ACL а с помощью команды conduit permit tcp host xxx.xxx.xxx.212 >eq smtp any > >правда он почемуто тоже не работает :) > >сейчас буду пробовать предложенный Вами вариант global (outside) 1 xxx.xxx.xxx.211-xxx.xxx.xxx.213 access-list 101 permit tcp any host xxx.xxx.xxx.212 eq smtp static (intf2,outside) tcp xxx.xxx.xxx.212 smtp 10.10.10.200 smtp netmask 255.255.255.255 0 0 access-group 101 in interface outside так не работает поставил global (outside) 1 xxx.xxx.xxx.212 тоже не работает Может есть у кого нибудь еще варианты? debug access-list all ни чего не показывает во время попытки соедениться debug packet outside src any dst xxx.xxx.xxx.212 proto tcp sport any dport 25 эта команда видит входящие подключения но acl молчит - что то все таки не так HELP!!!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "как проверить работает static или нет?"
	Сообщение от Nata (??) on 07-Май-08, 10:51
	>[оверквотинг удален] >Может есть у кого нибудь еще варианты? > >debug access-list all >ни чего не показывает во время попытки соедениться >debug packet outside src any dst xxx.xxx.xxx.212 proto tcp sport any dport >25 >эта команда видит входящие подключения но acl молчит - что то все >таки не так > >HELP!!! Раз пока ни у кого больше вариантов нет, то давайте опять пробуем разобраться. Такая конфигурация не заработает: global (outside) 1 xxx.xxx.xxx.211-xxx.xxx.xxx.213 access-list 101 permit tcp any host xxx.xxx.xxx.212 eq smtp static (intf2,outside) tcp xxx.xxx.xxx.212 smtp 10.10.10.200 smtp netmask 255.255.255.255 0 0 access-group 101 in interface outside ________________ У Вас с самого начала global правило другое было, а теперь Вы его зачем-то исправили. Попробуйте все-таки вот так: global (outside) 1 xxx.xxx.xxx.211 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (intf2,outside) tcp xxx.xxx.xxx.212 smtp 10.10.10.200 smtp netmask 255.255.255.255 0 0 access-list 101 permit tcp any host xxx.xxx.xxx.212 eq smtp access-group 101 in interface outside И что Вы имеете ввиду когда говорите -- acl молчит?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "как проверить работает static или нет?"
	Сообщение от o_key on 07-Май-08, 12:41
	>[оверквотинг удален] > >У Вас с самого начала global правило другое было, а теперь Вы >его зачем-то исправили. > >Попробуйте все-таки вот так: >global (outside) 1 xxx.xxx.xxx.211 >nat (inside) 1 0.0.0.0 0.0.0.0 0 0 >static (intf2,outside) tcp xxx.xxx.xxx.212 smtp 10.10.10.200 smtp netmask 255.255.255.255 0 0 >access-list 101 permit tcp any host xxx.xxx.xxx.212 eq smtp >access-group 101 in interface outside не работает > >И что Вы имеете ввиду когда говорите -- acl молчит? debug access-list all я думаю эта команда должна выводить на консоль информацию о состоянии пакетов удовлетворяющих acl - или я не прав?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "как проверить работает static или нет?"
	Сообщение от Nata (??) on 07-Май-08, 13:06
	>не работает > >> >>И что Вы имеете ввиду когда говорите -- acl молчит? > > debug access-list all > > я думаю эта команда должна >выводить на консоль информацию о состоянии пакетов удовлетворяющих acl - или >я не прав? Выложите, пожалуйста, свой конфиг еще раз.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "как проверить работает static или нет?"
	Сообщение от o_key on 07-Май-08, 18:21
	> >Выложите, пожалуйста, свой конфиг еще раз. sh access-list счетчик увеличивается, только доступ все равно получить не могу, может всетаки статик не работает вот конфиг interface ethernet0 auto interface ethernet1 auto interface ethernet2 auto nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 intf2 security4 enable password MAZHpu0paIjUNeAN encrypted passwd MAZHpu0paIjUNeAN encrypted hostname PIX515 domain-name AK-Cisco fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names name 192.168.1.100 admin access-list 101 permit tcp any host xxx.xxx.xxx.212 eq smtp pager lines 24 mtu outside 1400 mtu inside 1500 mtu intf2 1500 ip address outside xxx.xxx.xxx.210 255.255.255.224 ip address inside 192.168.1.1 255.255.255.0 ip address intf2 10.10.10.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm location 192.168.1.220 255.255.255.255 inside pdm location admin 255.255.255.255 inside pdm history enable arp timeout 14400 global (outside) 1 xxx.xxx.xxx.211 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (intf2,outside) tcp xxx.xxx.xxx.212 smtp 10.10.10.200 smtp netmask 255.25 5.255.255 0 0 access-group 101 in interface outside route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.193 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local aaa authentication enable console LOCAL aaa authentication ssh console LOCAL aaa authorization command LOCAL http server enable http 192.168.1.220 255.255.255.255 inside http admin 255.255.255.255 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable telnet timeout 5 ssh admin 255.255.255.255 inside ssh timeout 5 management-access inside console timeout 0 username root password idhYUMNmbaht7Bg3 encrypted privilege 15 privilege show level 0 command version privilege show level 0 command curpriv privilege show level 3 command pdm privilege show level 3 command blocks privilege show level 3 command ssh privilege configure level 3 command who privilege show level 3 command isakmp privilege show level 3 command ipsec privilege show level 3 command vpdn privilege show level 3 command local-host privilege show level 3 command interface privilege show level 3 command ip privilege configure level 3 command ping privilege show level 3 command uauth privilege configure level 5 mode enable command configure privilege show level 5 command running-config privilege show level 5 command privilege privilege show level 5 command clock privilege show level 5 command ntp privilege show level 5 mode configure command logging privilege show level 5 command fragment terminal width 80
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "как проверить работает static или нет?"
	Сообщение от Nata (??) on 07-Май-08, 13:25
	>>И что Вы имеете ввиду когда говорите -- acl молчит? > > debug access-list all > > я думаю эта команда должна >выводить на консоль информацию о состоянии пакетов удовлетворяющих acl - или >я не прав? У меня на PIX версия ОС 7.2, так что там даже такой команды нет. Но что-то она Вам выводить должна. А счетчики на ACL срабатывают? Если просто show access-list сделать и посмотреть, срабатывают ли счетчики при генерации нужного Вам трафика. А Вы обновить PIX не хотите? Там в 7.2 хорошая новая фича есть packet-tracer. Вам она легко поможет понять почему у Вас трафик не проходит.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "как проверить работает static или нет?"
	Сообщение от o_key on 07-Май-08, 18:10
	>[оверквотинг удален] > >У меня на PIX версия ОС 7.2, так что там даже такой >команды нет. Но что-то она Вам выводить должна. > >А счетчики на ACL срабатывают? Если просто show access-list сделать и посмотреть, >срабатывают ли счетчики при генерации нужного Вам трафика. > >А Вы обновить PIX не хотите? Там в 7.2 хорошая новая фича >есть packet-tracer. Вам она легко поможет понять почему у Вас трафик >не проходит. Я честно говоря даже не знаю как его обновить - полазил по нету так и не нашел ответ, буду признателен если подскажите
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "как проверить работает static или нет?"
	Сообщение от Nata (??) on 07-Май-08, 18:20
	>>А Вы обновить PIX не хотите? Там в 7.2 хорошая новая фича >>есть packet-tracer. Вам она легко поможет понять почему у Вас трафик >>не проходит. > >Я честно говоря даже не знаю как его обновить - полазил по >нету так и не нашел ответ, буду признателен если подскажите Обновить подскажу как, только прежде давайте разберемся. У Вас это рабочий PIX? То есть это реальное оборудование в офисе какой-то фирмы? Спрашиваю потому что при обновлении некоторые вещи придется заново настраивать. То есть какое-то время Ваш PIX считайте будет неработоспособен. Синтаксис команд просто в новых версиях поменялся. Если готовы обновляться и потом настраивать его, то тогда пишите. После этого Вам опишу всю процедуру. И постараюсь помочь с настройками на новой версии ОС. Если на такое не готовы, то попробуем разобраться с тем, что есть. Но вообще обновиться стОит. Только, возможно, Вам для этого нужно выбрать время подходящее.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "как проверить работает static или нет?"
	Сообщение от o_key on 07-Май-08, 18:28
	>[оверквотинг удален] >настраивать его, то тогда пишите. > >После этого Вам опишу всю процедуру. И постараюсь помочь с настройками на >новой версии ОС. > >Если на такое не готовы, то попробуем разобраться с тем, что есть. > > >Но вообще обновиться стОит. Только, возможно, Вам для этого нужно выбрать время >подходящее. Спасибо за помощь!!!! Обновлюсь хоть щас, там ничего страшного не завязано, он у емня в полупилотном состоянии работает :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "как проверить работает static или нет?"
	Сообщение от Nata (??) on 07-Май-08, 18:36
	>Обновлюсь хоть щас, там ничего страшного не завязано, он у емня в >полупилотном состоянии работает :) Пока скачайте отсюда новую ОС http://www.4shared.com/file/24367456/e08ee700/pix722_2.html?s=1 и выложите ее на tftp-сервере где-то у себя. На всякий случай пришлите, пожалуйста, show version Вашего PIX'а
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "как проверить работает static или нет?"
	Сообщение от o_key on 07-Май-08, 18:38
	>>Обновлюсь хоть щас, там ничего страшного не завязано, он у емня в >>полупилотном состоянии работает :) > >Пока скачайте отсюда новую ОС >http://www.4shared.com/file/24367456/e08ee700/pix722_2.html?s=1 >и выложите ее на tftp-сервере где-то у себя. > >На всякий случай пришлите, пожалуйста, show version Вашего PIX'а Cisco PIX Firewall Version 6.3(4) Cisco PIX Device Manager Version 3.0(2) Compiled on Fri 02-Jul-04 00:07 by morlee PIX515 up 10 hours 15 mins Hardware: PIX-515E, 128 MB RAM, CPU Pentium II 433 MHz Flash E28F128J3 @ 0x300, 16MB BIOS Flash AM29F400B @ 0xfffd8000, 32KB 0: ethernet0: address is 0014.a8ca.a429, irq 10 1: ethernet1: address is 0014.a8ca.a42a, irq 11 2: ethernet2: address is 000e.0c7f.1d18, irq 11 Licensed Features: Failover: Disabled VPN-DES: Enabled VPN-3DES-AES: Enabled Maximum Physical Interfaces: 3 Maximum Interfaces: 5 Cut-through Proxy: Enabled Guards: Enabled URL-filtering: Enabled Inside Hosts: Unlimited Throughput: Unlimited IKE peers: Unlimited This PIX has a Restricted (R) license. Serial Number: 809254242 (0x303c3d62) Running Activation Key: 0x89db8ad4 0xfc999720 0xeab5d0ee 0x71e7e219 Configuration last modified by root at 13:26:17.011 UTC Wed May 7 2008 PIX515(config)#
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "как проверить работает static или нет?"
	Сообщение от Nata (??) on 07-Май-08, 19:06
	Набросала Вам что делать тут: http://xgu.ru/wiki/PIX Если что-то непонятно, спрашивайте
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "как проверить работает static или нет?"
	Сообщение от o_key on 09-Май-08, 08:10
	>Набросала Вам что делать тут: > >http://xgu.ru/wiki/PIX > >Если что-то непонятно, спрашивайте Обновил IOS до 7 2_2 Теперь не работает web интерфейс sh nat выдал следующие результаты: NAT policies on Interface inside: match ip inside 192.168.1.0 255.255.255.0 outside any dynamic translation to pool 1 (xxx.xxx.xxx.211) translate_hits = 4, untranslate_hits = 0 match ip inside 192.168.1.0 255.255.255.0 inside any dynamic translation to pool 1 (No matching global) translate_hits = 0, untranslate_hits = 0 match ip inside 192.168.1.0 255.255.255.0 intf2 any dynamic translation to pool 1 (No matching global) translate_hits = 0, untranslate_hits = 0 match ip inside any outside any no translation group, implicit deny policy_hits = 0 match ip inside any intf2 any no translation group, implicit deny policy_hits = 0 NAT policies on Interface intf2: match tcp intf2 host 10.10.10.200 eq 25 outside any static translation to xxx.xxx.xxx.212/25 translate_hits = 0, untranslate_hits = 1 match ip intf2 any outside any no translation group, implicit deny policy_hits = 0 PIX515(config)# на интерфейсе intf2 как раз зафиксирована не транслированная попытка подключения на 25 порт, как бы выяснить что там не так? Большое спасибо за IOS он поинтереснее будет, правда обновлялось все несколько иначе, комманд которые Вы написали вообще не было в старом. И еще вопросик - все таки где бы взять теперь веб интерфейс управления устройством, не подскажите?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Подскажите где я ошибаюсь???????????????"
	Сообщение от o_key on 09-Май-08, 10:09
	>>Набросала Вам что делать тут: >> >>http://xgu.ru/wiki/PIX >> >>Если что-то непонятно, спрашивайте > Я попробывал packet-tracer судя по его данным у меня не проходят пакеты от outside интерфейса к intf2 причем это происходит по Implicit Rule т.е. мне нужно явным образом разрешить прохождение пакетов между интерфейсами и должно заработать. проблема в том что есть статик и на сколько я понял это прохождение должно им регулироваться. Подскажите где я ошибаюсь??????????????? PIX515(config)# packet-tracer input intf2 tcp xxx.xxx.xxx.210 25 10.10.10.200 25 Phase: 1 Type: FLOW-LOOKUP Subtype: Result: ALLOW Config: Additional Information: Found no matching flow, creating a new flow Phase: 2 Type: ROUTE-LOOKUP Subtype: input Result: ALLOW Config: Additional Information: in 10.10.10.0 255.255.255.0 Ethernet2 Phase: 3 Type: ACCESS-LIST Subtype: Result: DROP Config: Implicit Rule Additional Information: Forward Flow based lookup yields rule: in id=0x239add8, priority=111, domain=permit, deny=true hits=3, user_data=0x0, cs_id=0x0, flags=0x4000, protocol=0 src ip=0.0.0.0, mask=0.0.0.0, port=0 dst ip=0.0.0.0, mask=0.0.0.0, port=0 Result: input-interface: intf2 input-status: up input-line-status: up output-interface: intf2 output-status: up output-line-status: up Action: drop Drop-reason: (acl-drop) Flow is denied by configured rule
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "всетаки проблема в нате"
	Сообщение от o_key on 09-Май-08, 10:18
	packet-tracer input outside tcp ххх.ххх.ххх.215 25 ххх.ххх.ххх.210 25 Phase: 1 Type: FLOW-LOOKUP Subtype: Result: ALLOW Config: Additional Information: Found no matching flow, creating a new flow Phase: 2 Type: UN-NAT Subtype: static Result: ALLOW Config: static (intf2,outside) tcp interface smtp 10.10.10.200 smtp netmask 255.255.255. 255 nat-control match tcp intf2 host 10.10.10.200 eq 25 outside any static translation to 213.211.116.210/25 translate_hits = 0, untranslate_hits = 14 Additional Information: NAT divert to egress interface Ethernet2 Untranslate ххх.ххх.ххх.210/25 to 10.10.10.200/25 using netmask 255.255.255.255 Phase: 3 Type: ACCESS-LIST Subtype: Result: DROP Config: Implicit Rule Additional Information: Result: input-interface: outside input-status: up input-line-status: up output-interface: intf2 output-status: up output-line-status: up Action: drop Drop-reason: (acl-drop) Flow is denied by configured rule
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "всетаки проблема в нате"
	Сообщение от Nata (??) on 09-Май-08, 10:48
	>packet-tracer input outside tcp ххх.ххх.ххх.215 25 ххх.ххх.ххх.210 25 Проблема не в NAT'е, а в том, что ACL не пропускает. А Вы поменяли свои правила static? Почему Вы обращаетесь на адрес ххх.ххх.ххх.210? Последнее правило статик у Вас было такое: static (intf2,outside) tcp xxx.xxx.xxx.212 smtp 10.10.10.200 smtp netmask 255.255.255.255 0 0 То есть Вам надо: packet-tracer input outside tcp ххх.ххх.ххх.215 25 ххх.ххх.ххх.212 25 Но при этом в ACL на outside интерфейсе тоже надо разрешить: access-list 101 permit tcp any host xxx.xxx.xxx.212 eq smtp
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "всетаки проблема в нате"
	Сообщение от o_key on 09-Май-08, 12:09
	>[оверквотинг удален] >Почему Вы обращаетесь на адрес ххх.ххх.ххх.210? > >Последнее правило статик у Вас было такое: >static (intf2,outside) tcp xxx.xxx.xxx.212 smtp 10.10.10.200 smtp netmask 255.255.255.255 0 0 > >То есть Вам надо: >packet-tracer input outside tcp ххх.ххх.ххх.215 25 ххх.ххх.ххх.212 25 > >Но при этом в ACL на outside интерфейсе тоже надо разрешить: >access-list 101 permit tcp any host xxx.xxx.xxx.212 eq smtp Поменял статик потому что в иосе 722 встречалась проблема с его работой и решением было поменять в статик адрес на interface (это я в нете вычитал - думал что поможет, но проблема похоже не в этом static (intf2,outside) tcp interface smtp 10.10.10.200 smtp netmask 255.255.255.255
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "всетаки проблема в нате"
	Сообщение от Nata (??) on 09-Май-08, 10:53
	>>packet-tracer input outside tcp ххх.ххх.ххх.215 25 ххх.ххх.ххх.210 25 Посмотрела, что у Вас адрес xxx.xxx.xxx.210 -- это адрес outside интрфейса: ip address outside xxx.xxx.xxx.210 255.255.255.224 То есть Вы главное согласуйте правила статик нат и ACL
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору