В помощь ИТ специалисту 

Cisco 827 + NAT как сделать DMZ

Обсуждение тематик, связанных с построением сетей, сетевым оборудованием т.д.

Модератор: Модераторы

Ответить
neos
Пользователь
Сообщения: 82
Зарегистрирован: 16 сен 2004, 15:32
Откуда: Краснодарский край

Сообщение neos » 11 апр 2005, 10:46

Есть такая циска, есть реальный IP(62.183.1.х) и внутренние IP(10.10.1.х), и Веб сервер IP(192.168.5.1).Циска подключена к хабу от хаба идут два кабеля на (10.10.1.х) и (192.168.5.1) Как сделать так, что бы при поступлении запроса из вне по 80 порту циска кидала его на 192.168.1.5 и блокировала на 10.10.1.х И вообще возможно ли такое?
ЦЕЛЬ: Нужно поставить Веб сервер и что бы с безопасностью было нормально.

Да и еще: на эту циску можно попасть по средствам http?
Глупость - это не отсутствие ума, а такой ум.
Вернуться к началу
Harry33
Он здесь живет
Сообщения: 2394
Зарегистрирован: 19 дек 2003, 20:43
Откуда: Москва

Сообщение Harry33 » 11 апр 2005, 13:18

Сколько внешних IP у тебя есть?
Тебе надо настроить порт маппинг.
Подробности тут
http://www.cisco.com/en/US/products/sw/ ... html#29211
Знания, которые нельзя применить - бесполезны
Вернуться к началу
neos
Пользователь
Сообщения: 82
Зарегистрирован: 16 сен 2004, 15:32
Откуда: Краснодарский край

Сообщение neos » 11 апр 2005, 17:06

А у тебя случаем нет Fast Step. Если есть скинь плиз sysadm@kuban.imango.ru
Глупость - это не отсутствие ума, а такой ум.
Вернуться к началу
biruk
Активный пользователь
Сообщения: 1134
Зарегистрирован: 19 июл 2004, 11:30
Откуда: Москва

Сообщение biruk » 11 апр 2005, 18:05

Цитата (neos @ 11.04.2005 - 09:46)
Есть такая циска, есть реальный IP(62.183.1.х) и внутренние IP(10.10.1.х), и Веб сервер IP(192.168.5.1).Циска подключена к хабу от хаба идут два кабеля на (10.10.1.х) и (192.168.5.1) Как сделать так, что бы при поступлении запроса из вне по 80 порту циска кидала его на 192.168.1.5 и блокировала на 10.10.1.х И вообще возможно ли такое?

[/quote]

возможно, но не кузяво.
похоже эта циска не понимает vlan'ы а без них dmz будет кривоватой...
т.е. придется ставить еще один межсетевой экран между dmz и inside

........................... +-----+
Outside ---62.183.1.0/x-----| 827 |-------- [192.168.5.0/24 + 10.10.1.0/24]---> Inside
............................+-----+

как видно обе сети dmz и inside полклбчаются к хабу/свичу который находится в локалке. В случае взлома сервера в dmz - локалка ничем не защищается.
крайне желательно поставить еще один МЭ/прокси между dmz и inside


........................... +-----+..............................+-----+
Outside ---62.183.1.0/x-----| 827 |-------- [192.168.5.0/24]---> [proxy]-----[10.10.1.0/24]---Inside
............................+-----+..............................+-----+


вот. а как технически настроить циску - это просто:
вот так настривается второй ip на субинтерфейсах

int fa0.192
ip addr 192.168.5.254 255.255.255.0

int fa0.10
ip addr 10.10.10.254 255.255.255.0

если на циске софт фиревольный, то надо настроить inspect'ы и
access-list'ы с учетом этого факта.

а по вышеприведенной ссылки как раз про настройки дополнительных портов для протоколов :)

т.е по умолчению, ip inspect name FW http проверяет траффик tcp/80
а порт-маппинг расширяет действие фиревало на другие порты, например
ip port-map http port 8080
ip port-map http port 3128
будет проверять и траффик идущий через прокси.
а статический нат будет выглядеть приблизительно так:

ip nat outside source static tcp 62.183.1.1 80 192.168.5.1 80


вот.
PS: циски такой нет, проверить не на чем, могу и ошибаться.
поправьте если я не прав.
Trust me - i know what i’m doing © Sledge Hummer
Вернуться к началу
neos
Пользователь
Сообщения: 82
Зарегистрирован: 16 сен 2004, 15:32
Откуда: Краснодарский край

Сообщение neos » 12 апр 2005, 09:10

Всем спасибо. Что касается защищенности (по последнему посту) , то тут согласен. Защищенности никакой. Потому решил поднять нат на Циске.
В прокси воткнуть еще одну сетевку. И сделать примерно так.
........................... +-----+..............................+-----+
Outside ---62.183.1.0/x-----| 827 |---> [proxy]-----[10.10.1.0/24]---Inside
\
------[12.12.1.1/24]--веб сервер
............................+-----+..............................+-----+

Как вы считаете - это практично будет?
Глупость - это не отсутствие ума, а такой ум.
Вернуться к началу
neos
Пользователь
Сообщения: 82
Зарегистрирован: 16 сен 2004, 15:32
Откуда: Краснодарский край

Сообщение neos » 12 апр 2005, 09:12

Что то с табличкой не получилось. ;) Короче ------[12.12.1.1/24]--веб сервер - это от прокси
Глупость - это не отсутствие ума, а такой ум.
Вернуться к началу
biruk
Активный пользователь
Сообщения: 1134
Зарегистрирован: 19 июл 2004, 11:30
Откуда: Москва

Сообщение biruk » 12 апр 2005, 14:02

Цитата (neos @ 12.04.2005 - 08:12)
Что то с табличкой не получилось.  ;) Короче ------[12.12.1.1/24]--веб сервер - это от прокси
[/quote]

лучше поставить веб-сервер в сегмент между роутером и прокси.
Trust me - i know what i’m doing © Sledge Hummer
Вернуться к началу
neos
Пользователь
Сообщения: 82
Зарегистрирован: 16 сен 2004, 15:32
Откуда: Краснодарский край

Сообщение neos » 02 май 2005, 12:42

Это опять я.. :D

Вот моя таблица с CISCO
interface Loopback0
ip address 62.x.x.181 255.255.255.255
ip nat outside
!
interface Loopback1
ip address 62.x.x.182 255.255.255.255
!
interface Tunnel182
ip address 192.168.8.2 255.255.255.0
tunnel source Loopback1
tunnel destination 62.183.41.238
tunnel mode ipip
!
interface Tunnel233
no ip address
!
interface Ethernet0
ip address 192.168.1.5 255.255.255.0
ip nat inside
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
dsl power-cutback 0
!
interface ATM0.1 point-to-point
ip unnumbered Loopback0
ip nat outside
pvc 2/35
encapsulation aal5snap
!
ip nat inside source list 1 interface Loopback0 overload
ip nat inside source static tcp 192.168.1.15 40000 62.x.x.181 40000 extendable
ip nat inside source static tcp 192.168.1.15 25 62.x.x.181 25 extendable
ip nat inside source static tcp 192.168.1.15 110 62.x.x.181 110 extendable
ip nat inside source static udp 192.168.1.15 1700 62.x.x.181 1700 extendable
ip nat inside source static udp 192.168.1.15 500 62.x.x.181 500 extendable
ip nat inside source static tcp 192.168.1.15 3389 62.x.x.181 3389 extendable
ip nat inside source static udp 192.168.1.15 1723 62.x.x.181 1723 extendable
ip nat inside source static udp 192.168.10.1 80 62.x.x.181 80 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip route 192.168.2.0 255.255.255.0 192.168.8.1
ip route 192.168.3.0 255.255.255.0 192.168.8.1
no ip http server

Что я неправильно сделал, поправьте меня... т.к. web (IP 192.168.10.1) не работает.
Глупость - это не отсутствие ума, а такой ум.
Вернуться к началу
biruk
Активный пользователь
Сообщения: 1134
Зарегистрирован: 19 июл 2004, 11:30
Откуда: Москва

Сообщение biruk » 03 май 2005, 18:03

Цитата (neos @ 2.05.2005 - 11:42)
Это опять я.. :D

ip nat inside source static udp 192.168.10.1 80 62.x.x.181 80 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip route 192.168.2.0 255.255.255.0 192.168.8.1
ip route 192.168.3.0 255.255.255.0 192.168.8.1
no ip http server

Что я неправильно сделал, поправьте меня... т.к. web (IP 192.168.10.1) не работает.
[/quote]

может http должно работать по tcp а не udp ?
Trust me - i know what i’m doing © Sledge Hummer
Вернуться к началу
neos
Пользователь
Сообщения: 82
Зарегистрирован: 16 сен 2004, 15:32
Откуда: Краснодарский край

Сообщение neos » 16 май 2005, 10:03

Пардон , действительно. Пасибо.
А как вариант. Настроить киску на две подсети можно? В смысле киску в хаб, а из хаба две подсети, которые не видели бы друг друга но у обоих был выход в нет.
И если можно, то что нужно дописать или исправить. Помогите плиз...
Глупость - это не отсутствие ума, а такой ум.
Вернуться к началу
След.
Ответить

Вернуться в Сети и сетевые технологии, сетевое оборудование.

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

Список форумов
Удалить cookies конференции