Any Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору привет, после перехода на 7.2(2) пришлось терминировать pptp на отдельном сервере (win2k). проблема такая - клиент соединяется , получает IP - трафик не проходит. у кого есть рабочий конфиг с pptp pptp through - дайте посмотреть плз! Всего записей: 86 | Зарегистр. 31-10-2002 | Отправлено: 13:10 04-02-2007

at200859 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Достался мне такой девайс: PIX-515E-R-DMZ-BUN Вот его версия:   Cisco PIX Firewall Version 6.3(5) Cisco PIX Device Manager Version 3.0(4)   Compiled on Thu 04-Aug-05 21:40 by morlee   fw up 21 days 2 hours   Hardware:   PIX-515E, 64 MB RAM, CPU Pentium II 433 MHz Flash E28F128J3 @ 0x300, 16MB BIOS Flash AM29F400B @ 0xfffd8000, 32KB   0: ethernet0: address is 0015.fa81.2a01, irq 10 1: ethernet1: address is 0015.fa81.2a02, irq 11 2: ethernet2: address is 000e.0c9d.139a, irq 11 Licensed Features: Failover:                    Disabled VPN-DES:                     Enabled VPN-3DES-AES:                Disabled Maximum Physical Interfaces: 3 Maximum Interfaces:          5 Cut-through Proxy:           Enabled Guards:                      Enabled URL-filtering:               Enabled Inside Hosts:                Unlimited Throughput:                  Unlimited IKE peers:                   Unlimited   This PIX has a Restricted (R) license.   Хотелось бы перед вводом его в боевую работу обновить софт на 7.2(2) Подскажите начинающему надо ли мне добавлять память до 128 Мег или можно остаться на 64? Если я правильно понял Cisco PIX 515/515E Security Appliance Memory Upgrade for PIX Software v7.0, то для версии с  Restricted license достаточно и 64 Мег. И второй вопрос. Если память необходимо добавлять, то какую надо? Можно ли использовать обычные DIMM (PC-100, PC-133, ECC, non-ECC)? Всего записей: 53 | Зарегистр. 18-02-2003 | Отправлено: 15:21 08-02-2007 | Исправлено: at200859, 15:38 08-02-2007

Blins Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору От ведь жизть! Пытаюсь настроить PIX 515 (версия 6.3(5)) и бьюсь как рыба об лед. Из консоли пингует интернетовские адреса и внутренние тоже, а из внутренней сети не дает ни пинга, ничего другого. В чем может быть трабл? Поначалу когда делал debug icmp trace он мне на попытку пинга внешнего интерфейса из внутреннего выдавал translating outside ... и.т.д. (т.е. NAT чудИл), теперь молчит собака и трейсит тока когда снаружи из инета бьешься. Помогите кто чего знает! Конфигурация:   : Written by enable_15 at 06:02:54.732 UTC Thu Feb 8 2007 PIX Version 6.3(5) interface ethernet0 10full interface ethernet1 10full interface ethernet2 10full nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security50 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname mypix domain-name ciscopix.com fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol tftp 69 names name 192.168.1.2 webserver access-list ping_acl permit icmp any any access-list acl_out permit icmp any any access-list acl_out permit tcp any host 177.108.66.107 eq www pager lines 24 logging buffered debugging mtu outside 1500 mtu inside 1500 mtu dmz 1500 ip address outside 177.108.66.106 255.255.255.248 ip address inside 192.168.0.253 255.255.255.0 ip address dmz 192.168.1.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm logging informational 100 pdm history enable arp timeout 14400 global (outside) 1 177.108.66.108-177.108.66.109 global (outside) 1 177.108.66.110 global (dmz) 1 webserver-192.168.1.5 nat (inside) 1 192.168.0.0 255.255.255.0 0 0 static (dmz,outside) 177.108.66.107 webserver netmask 255.255.255.255 0 0 access-group acl_out in interface outside access-group ping_acl in interface inside access-group ping_acl in interface dmz route outside 0.0.0.0 0.0.0.0 177.108.66.105 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local http server enable http 0.0.0.0 0.0.0.0 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps no snmp-server enable traps floodguard enable telnet 192.168.0.14 255.255.255.255 inside telnet 192.168.0.14 255.255.255.255 dmz telnet timeout 15 ssh timeout 5 console timeout 0 dhcpd auto_config outside terminal width 80 Cryptochecksum:58ce4fb399416d2cb68c2c8bbe70bcf4 Всего записей: 463 | Зарегистр. 06-05-2003 | Отправлено: 16:30 08-02-2007

Raredemon Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Blins Цитата: access-group acl_out in interface outside   Вот почему пингается снаружи. А изнутри не пингается потому что не знаю как в 6-ом пикс-осе, но в седьмом реализовано наблюдение за icmp сессией, т.к. icmp асимметричный протокол, т.е. ответ от хоста приходит с другим номером сессии, а не как ответ на запрос и соотвественно не проходит цепочку "форвард" говоря языком iptables. ---------- Designed for Windows XP. Powered by Gentoo! Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логу прокси.... Всего записей: 1787 | Зарегистр. 03-09-2003 | Отправлено: 08:49 27-03-2007

osten Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору coderz Спасибо тебе за симулятор, оченно полезная вещь.   Есть и у меня вопросец к сообществу. Вот написано выше в конфиге (и у меня почти так же ): --- global (outside) 1 177.108.66.108-177.108.66.109   global (outside) 1 177.108.66.110   nat (inside) 1 192.168.0.0 255.255.255.0 0 0 --- Всё понятно: ТРИ внешних адреса, на два первых из которые НАТится внутренняя сеть, а если их не хватает, то на 110 ПАТом (и потОм ) транслируются все остальные, кто не влез в НАТ.   А вот если у меня ТОЛЬКО ДВА внешних свободно? - оставить первую строчку "глобал", убрать вторую - только двое вылезут в outside, остальные нет. - прописать два глобала по образцу второй строчки - сомнительно, как будет работать, скорее всего - не будет.   Есть мнения? Пробовать "путём тыка" нежелательно, девайс в работе почти круглосуточно... Можно ли развести юзеров по двум ПАТам, в зависимости от их (юзеров) айпишников? Вроде "полиси нат" что-то такое позоляет...     ...Ушёл читать доки...       Всего записей: 94 | Зарегистр. 03-02-2006 | Отправлено: 02:38 02-04-2007 | Исправлено: osten, 02:45 02-04-2007

Raredemon Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору osten Цитата: Всё понятно: ТРИ внешних адреса, на два первых из которые НАТится внутренняя сеть, а если их не хватает, то на 110 ПАТом (и потОм ) транслируются все остальные, кто не влез в НАТ.   ну во первых у тебя все выходят ПАт-ом, только первый глобал предоставляет пул из двух адресов, а второй глобал один, нафига так сделано не понятно... можно спокойно все три адреса в один глобал писать... пул действительно нужен для того чтоб когда на одном адресе закончаться xlate-ы использовать другие адреса. ограничение - 2000 соединений с одного адреса. Цитата: А вот если у меня ТОЛЬКО ДВА внешних свободно?   - оставить первую строчку "глобал", убрать вторую - только двое вылезут в outside, остальные нет.   - прописать два глобала по образцу второй строчки - сомнительно, как будет работать, скорее всего - не будет.   если сетка не шибко большая можешь один адрес только оставить. Цитата: Можно ли развести юзеров по двум ПАТам, в зависимости от их (юзеров) айпишников?   можно и описанием ната, например так: Код: global (outside) 1 177.108.66.109 global (outside) 2 177.108.66.110   nat (inside) 1 192.168.0.0 255.255.255.128 0 0 nat (inside) 2 192.168.0.128 255.255.255.128 0 0 ---------- Designed for Windows XP. Powered by Gentoo! Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логу прокси.... Всего записей: 1787 | Зарегистр. 03-09-2003 | Отправлено: 10:09 02-04-2007

osten Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата:  нафига так сделано не понятно...   А это кусок из стандартного цисковского мануала - все и повторяют, думать кому ж охота... Цитата: если сетка не шибко большая можешь один адрес только оставить. Так и сделаю, для проверки внешних мыл и праздного шатания по сети полутора десяткам юзверей хватит. Ибо нефиг...     А вот что ещё неясно: в DMZ у меня поднят web-сервер. Я его вижу из внутренней сети, набирая в браузере его внутренний айпишник - как и должно быть.   А вот если я пытаюсь его увидеть через outside по IP, который прописан ему в static (dmz, outside) - не вижу. Соответственно, по имени - тоже не вижу...   Если обращаюсь к нему же через любой интернет-прокси - то начинаю видеть! И по имени, и по IP. В общем-то мне это и нафиг не нужно, но надо же объяснить директору, почему он набрав в браузере www.нашафирма.ru не видит сайта...   Что может быть криво сделано?   Конфиг - один в один тот, что выше приведён... Всего записей: 94 | Зарегистр. 03-02-2006 | Отправлено: 15:01 02-04-2007 | Исправлено: osten, 15:03 02-04-2007

Raredemon Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору osten Цитата: А это кусок из стандартного цисковского мануала - все и повторяют, думать кому ж охота...   До этого я чото недодумался Цитата: А вот если я пытаюсь его увидеть через outside по IP, который прописан ему в static (dmz, outside) - не вижу. Соответственно, по имени - тоже не вижу...   Через аутсайд и не увидишь, получается корявый роутинг в пределах одного интерфейса... Цитата: Если обращаюсь к нему же через любой интернет-прокси - то начинаю видеть! И по имени, и по IP.   В общем-то мне это и нафиг не нужно, но надо же объяснить директору, почему он набрав в браузере www.нашафирма.ru не видит сайта...   Что может быть криво сделано?   Код: name 192.168.1.2 webserver   а имя интерфейса не надо вставлять разве? либо проблема с днс - инсайду отдает внешний адрес сервера... Цитата: global (dmz) 1 webserver-192.168.1.5   хм и что этим правилом хотели сказать? ---------- Designed for Windows XP. Powered by Gentoo! Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логу прокси.... Всего записей: 1787 | Зарегистр. 03-09-2003 | Отправлено: 15:39 02-04-2007

osten Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Raredemon, спасибо за разъяснения, с аутсайдом понятно,  директору пропишу в hosts внутренний IP нашего сайта и сделаю ipconfig /flushdns. Пусть наслаждается     Да вроде ошибок нет, вообще конфиг слизан отсюда:  http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_v52/config/examples.htm Там и пошаговые комментарии есть (позже выяснилось, что неполные, хотя и полезные)...   И кстати, когда я внешний пул оставлял из двух адресов без ПАТа на третьем - нихрена автоматом ПАТ не включается, пару юзеров выпустило по НАТу - и всё.  Так что остался вариант с одним внешним айпи/ПАТом на все юзерские нужды. Как и ожидалось...   Добавлю     Знание, выстраданное тремя днями экспериментов с девайсом, чтения доков и обдумывания ненайденного в них: В вот таком конфиге, (почти как восемью постами выше), Код:   ... ip address outside 177.108.66.106 255.255.255.248   ip address inside 192.168.0.254 255.255.255.0   ip address dmz 192.168.1.1 255.255.255.0   global (outside) 1 177.108.66.108-177.108.66.109   global (outside) 1 177.108.66.110   global (dmz) 1 192.168.1.2-192.168.1.5 - ошибка! nat (inside) 1 192.168.0.0 255.255.255.0 0 0   ...   очень важно, чтобы диапазон IP, указанный в строке global (dmz), не содержал айпишников реальных узлов зоны DMZ. Туда случайным образом портируются IP внутренней зоны, и если портированный IP совпадёт с реально существующим узлом - будет глюк, когда видимость DMZ из инсайда то есть, то нету. Пинги внутри DMZ при этом тоже глючат, часть пакетов теряется. Ситуация выяснилась просмотром результатов show xlate.   Хочу особо отметить, что девайс в этом случае (при вводе конфига с терминала) никаких предупреждений не выдаёт, в отличие от других ситуаций, например "перехлёста" двух глобалов на одном интерфейсе. И в доках об этом тоже ничего прямо не сказано (ну, или я не нашёл). И обязательно надо делать clear xlate после любых изменений конфига - но про это хоть написано...   Соответственно, если там в DMZ четыре реальных узла с 192.168.1.2 по 192.168.1.5, то в global(dmz) нужно указывать любые IP той же сетки (или диапазон) кроме этих! А если хочется, чтобы в логах были видны реальные IP внутренних посетителей DMZ-шных серверов, то надо делать идентичный НАТ, типа   Код:   nat (dmz,inside) 1 192.168.0.0 192.168.0.0 0 0     но тогда взломщику, получившему доступ к логу, сразу будет ясен состав внутренней сети, что не есть правильно...     P.S. Возможно, написанное выше для всех очевидно, но я вот напоролся... Всего записей: 94 | Зарегистр. 03-02-2006 | Отправлено: 23:21 02-04-2007 | Исправлено: osten, 00:30 04-04-2007

mzf Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: у кого есть рабочий конфиг с pptp pptp through - дайте посмотреть плз Семёрка PPTP не поддерживает в принципе! Всего записей: 9 | Зарегистр. 16-01-2006 | Отправлено: 16:19 30-05-2007

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Всем привет. Подскажите пожалуйста есть ли возможность на PIX или лутше ASA зарезервировать порт и реализовать возможность резервного подключения к другому провайдеру и желательно через LAN интерфейс. Модель ASA 5505 имеет ли такую возможность ? что то типа Hot Standby Router Protocol.   Спасибо. Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 20:16 17-07-2007 | Исправлено: slech, 20:17 17-07-2007

PolarBear Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Всем привет.   Подскажите пожалуйста есть ли возможность на PIX или лутше ASA зарезервировать порт и реализовать возможность резервного подключения к другому провайдеру и желательно через LAN интерфейс. Модель ASA 5505 имеет ли такую возможность ?   что то типа Hot Standby Router Protocol.     Спасибо.   HSRP - only for local redundancy.   возможность резервного подключения к другому провайдеру - sla monitor......       Всего записей: 259 | Зарегистр. 20-12-2002 | Отправлено: 05:30 18-07-2007

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору PolarBear Спасибо за разъяснение - не подскажешь где на сайте можно найти подтверждение   поддерживают ли модели ASA 5505 И ASA 5510  SLA. Не могу найти.   Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 09:24 18-07-2007 | Исправлено: slech, 09:38 18-07-2007

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору может правильным ответом на мой вопрос будет   Static Route Tracking ? Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 13:41 18-07-2007

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вопрос по лицензиям и обновлению софта. Допустим купим Cisco ASA 5505 c OS 8.0 выйдет 9.0 прдётся покупать ? или на основе старой лицензии можем использовать ? с ограничениями нашей лицензии.   Спасибо.     Добавлено: и где строчку в прайсе найти сколько стоит если стоит ASA 5505. Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 17:09 06-08-2007

slut Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору slech наверняка проблем с обновлением 8.х на более высокие версии не будет. Во всяк случае мои пиксы покупались еще с версиями 5.x и 6.x и сейчас прекрасно работают под 7.x и 8.x.   Касательно прайса ASA - наверняка как и в пиксах всё зависит от типа лицензии (у пиксов это: restricted, unrestricted, fallover и пр.) Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 17:23 07-08-2007 | Исправлено: slut, 17:24 07-08-2007

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование