Добрый день!
Есть Cisco PIX 515E R-DMZ (3FE), надо настроить ее с нуля.
В DMZ пока будет только почтовый сервер.
Опыта работы с Cisco раньше не было.
Подскажите пожалуйста какую-нибудь литературу (или ссылки) по пошаговой настройке, а то на www.cisco.com слишком много всего.
В принципе многое понятно, но что-то не выходит настроить NAT, не пойму что ей надо.
Спасибо.
[/quote]
Выкачай документацию на свою 515E - в ней все разжевано и с картинками 
- Новый участник
- Сообщения: 9
- Зарегистрирован: 08 фев 2006, 19:59
 sam_dim » 09 фев 2006, 19:52
| Цитата (PavelKHTW @ 8.02.2006 - 20:33) | Выкачай документацию на свою 515E - в ней все разжевано и с картинками
[/quote]
Я так делал, обратился, т.к. не помогло.
Если не сложно, объясните связку команд nat и global... точнее вот что:
для простоты пусть интерфейса 2 - inside и outside, надо чтобы пользователи внутр. сети ходили наружу, также, чтобы можно было изнутри пинговать машины в наружней сетке.
Есть команды:
global (outside) 1 interface
nat (inside) 1 0 0
т.е. весь трафик с внутреннего интерфейса бросается (натится) на внешний интерфейс. я правильно понимаю? нужны ли еще какие-либо команды? Нужно ли для того, чтобы все заработало дополнительно указать списки доступа (access-list)?
Спасибо.
- Активный пользователь
- Сообщения: 1134
- Зарегистрирован: 19 июл 2004, 11:30
- Откуда: Москва
biruk » 13 фев 2006, 17:26
не правильно.
команда nat делает динамический список доступа, а для сервера в dmz нужна статика.
допустим:
| Код |
ip address outside 23.0.0.1 255.255.255.0
ip address DMZ 192.168.1.1
ip address inside 172.16.1.1
[/code]
сервер ствавишь в dmz с локальным ip 192.168.1.2 и хочешь чтобы снаружи его видели как 23.0.0.2
| Код |
static (DMZ,outside) 23.0.0.2 192.168.1.2 netmask 255.255.255.255 0 50
[/code]
а чтоб народ из локалки выходил в инет:
| Код |
global (outside) 1 interface
nat (inside) 1 172.16.1.0 255.255.255.0 0 0
[/code]
а если у тебя в локалке много сетей из диапазона 172.16-31.0.0 то тогда
| Код |
nat (inside) 1 172.16.0.0 255.240.0.0 0 0
[/code]
Trust me - i know what i’m doing © Sledge Hummer
- Активный пользователь
- Сообщения: 716
- Зарегистрирован: 13 апр 2004, 17:38
PavelKHTW » 13 фев 2006, 19:37
| Цитата (sam_dim @ 9.02.2006 - 18:52) | | Цитата (PavelKHTW @ 8.02.2006 - 20:33) | Выкачай документацию на свою 515E - в ней все разжевано и с картинками
[/quote]
Я так делал, обратился, т.к. не помогло.
[/quote]
Для тех кто в консольных командах не силен, есть еще и веб интерфейс - он на яве - клацайте и все поймете.
- Активный пользователь
- Сообщения: 1134
- Зарегистрирован: 19 июл 2004, 11:30
- Откуда: Москва
biruk » 14 фев 2006, 19:10
| Цитата | есть еще и веб интерфейс - он на яве - клацайте и все поймете.
[/quote]
чего-то я с ним не подружился
надысь босс надыбал где-то (а может купил) цисковскую прогу, которая красиво рисует сеть, но при этом работает по http 
ну висит она на его машие, а я слечайно залез на коммутатор и вот:
| Код | backbone>sh proc cpu sort
CPU utilization for five seconds: 26%/0%; one minute: 47%; five minutes: 49%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
158 83682796 25057934 3339 9.49% 20.62% 21.45% 0 HTTP CORE
139 11628084 63456692 183 0.46% 0.34% 0.33% 0 IP Input
128 17 22 772 0.31% 0.02% 0.00% 1 Virtual Exec
4 8890295 965647 9206 0.31% 0.13% 0.11% 0 Check heaps
110 19513736 13013929 1499 0.31% 0.16% 0.16% 0 HRPC qos request
39 1144940 434715025 2 0.15% 0.07% 0.07% 0 Fifo Error Detec
142 16256858 163943572 99 0.15% 0.17% 0.16% 0 Spanning Tree
134 3626728 9016439 402 0.15% 0.02% 0.00% 0 CDP Protocol
154 265902 2859842 92 0.15% 0.01% 0.00% 0 Cluster Base
[/code]
т.е. этот гребанный http жрет проц нипадецки!
Trust me - i know what i’m doing © Sledge Hummer
- Активный пользователь
- Сообщения: 716
- Зарегистрирован: 13 апр 2004, 17:38
PavelKHTW » 14 фев 2006, 22:55
| Цитата (biruk @ 14.02.2006 - 18:10) | т.е. этот гребанный http жрет проц нипадецки!
[/quote]
Ну так чем чаще на него ходить, тем больше нагружен
А как прога называется? Может и я себе куплю
- Он здесь живет
- Сообщения: 2394
- Зарегистрирован: 19 дек 2003, 20:43
- Откуда: Москва
Harry33 » 15 фев 2006, 13:09
PavelKHTW
Если я правильно понял biruk то прога рисует связи между коммутаторами, покупать ее не надо она на халяву раздается циской, зовут сей чудо софт
Cisco Network Assistant
Знания, которые нельзя применить - бесполезны
- Активный пользователь
- Сообщения: 716
- Зарегистрирован: 13 апр 2004, 17:38
PavelKHTW » 15 фев 2006, 13:33
| Цитата (Harry33 @ 15.02.2006 - 12:09) | PavelKHTW
Если я правильно понял biruk то прога рисует связи между коммутаторами, покупать ее не надо она на халяву раздается циской, зовут сей чудо софт
Cisco Network Assistant
[/quote]
Эта у меня есть начиная с 1-й версии, но в ней есть ограничение на кол-во сетевых устройств - и мне она частично подходит, но поддержку PIX там я не видел.
Так что скорее всего не та.
- Активный пользователь
- Сообщения: 1134
- Зарегистрирован: 19 июл 2004, 11:30
- Откуда: Москва
biruk » 15 фев 2006, 14:03
точно! Cisco Network Assistant
сейчас сунулся скачивать - просит логин cco.
Ну ладно, ввел - грит что уй нужно 4 часа для проверки. Вот уроды!
Trust me - i know what i’m doing © Sledge Hummer
Вернуться в Межсетевые экраны (Firewall) и Прокси серверы (Proxy)
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8
|
|
|
|
|
|
|
|
|
|
|
|
