https://www.opennet.ru/openforum/vsluhforumID6/14947.html Возможно ли пропустить протокол DCOM через Cisco Secure PIX?<br>Если возможно, то прошу кусок конфига.<br>Настройки PIX'a:<br>PIX Version 6.3(4)<br>interface ethernet0 auto<br>interface ethernet1 auto<br>interface ethernet2 auto shutdown<br>interface ethernet3 auto shutdown<br>interface ethernet4 auto shutdown<br>interface ethernet5 auto shutdown<br>nameif ethernet0 outside security0<br>nameif ethernet1 inside security100<br>nameif ethernet2 DCOM security4<br>nameif ethernet3 intf3 security6<br>nameif ethernet4 intf4 security8<br>nameif ethernet5 intf5 security10<br>enable password pass encrypted<br>passwd pass encrypted<br>hostname xxx<br>domain-name xxx.ru<br>fixup protocol dns maximum-length 512<br>fixup protocol ftp 21<br>fixup protocol h323 h225 1720<br>fixup protocol h323 ras 1718-1719<br>fixup protocol http 80<br>fixup protocol rsh 514<br>fixup protocol rtsp 554<br>fixup protocol sip 5060<br>fixup protocol sip udp 5060<br>fixup protocol skinny 2000<br>fixup protocol smtp 25<br>fixup protocol sqlnet 1521<br>fixup protocol tftp 69<br>names<br>access-list outside-in permi https://www.opennet.ru/openforum/vsluhforumID6/14947.html#7 Wed, 05 Dec 2007 04:17:37 GMT Вопрос не по портам, их я прописал, вопрос в адресе сервера. Если убрать static, то как задать жесткое соответствие между внутренним и внешним адресом?<br> https://www.opennet.ru/openforum/vsluhforumID6/14947.html#6 Tue, 04 Dec 2007 07:50:02 GMT Для начала попробовать открыть TCp/udp 135 (DCOM, если не ошибаюсь)<br>если серверная часть находиться внутри<br><br>&gt;access-list outside-in permit icmp any any <br><br>access-list outside-in permit udp any any eq 135<br>access-list outside-in permit tcp any any eq 135<br><br>если серверная часть находиться снаружи<br>&gt;access-list inside-in permit icmp any any <br><br>access-list inside-in permit udp any any eq 135<br>access-list inside-in permit tcp any any eq 135<br><br>если используются другие порты, то они соответсвенно должны быть прописаны в<br>access-list.<br><br>а эти строчки выкинуть, так как прописан static<br><br>&gt;global (outside) 2 xxx2 <br>&gt;global (outside) 1 xxx1 <br>&gt;nat (inside) 1 10.143.134.1 255.255.255.255 dns 0 0<br>&gt;nat (inside) 2 10.143.134.94 255.255.255.255 dns 0 0 https://www.opennet.ru/openforum/vsluhforumID6/14947.html#5 Tue, 04 Dec 2007 05:50:14 GMT Пожалуйста, ответьте, очень нужно.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/14947.html#4 Wed, 28 Nov 2007 15:06:31 GMT А можно это в рамках конфигурирования PIX'а? Не сильно большой дока по нему, только начал заниматься.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/14947.html#3 Wed, 28 Nov 2007 08:54:41 GMT <br>&gt;использовать. Если брандмауэр скрывает реальный IP-адрес сервера, клиент не сможет осуществлять <br>&gt;вызовы функций интерфейсов сервера. <br>&gt;Сервер же стоит за натом и PIX дает ему "белый" адрес. <br><br>В таком случае, вам ничего не остается кроме как туннелировать трафик.<br> https://www.opennet.ru/openforum/vsluhforumID6/14947.html#2 Wed, 28 Nov 2007 06:00:46 GMT С портами худо бедно разобраться то можно, только вот в чем загвоздка, при работе данного протокола пишется что:<br>Клиент должен иметь возможность обмениваться данными с сервером, используя его реальный, а не виртуальный, IP-адрес. Это связано с тем, что информация об интерфейсе, передаваемая сервером клиенту, содержит реальный IP-адрес сервера, который клиент будет пытаться использовать. Если брандмауэр скрывает реальный IP-адрес сервера, клиент не сможет осуществлять вызовы функций интерфейсов сервера.<br>Сервер же стоит за натом и PIX дает ему "белый" адрес.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/14947.html#1 Tue, 27 Nov 2007 22:42:45 GMT &gt;Возможно ли пропустить протокол DCOM через Cisco Secure PIX? <br>&gt;Если возможно, то прошу кусок конфига. <br><br>Насколько я помню, DCOM случайные порты (что-то вроде ftp), необходимо на уровне ОС указать диапазон портов которые потом разрешить на PIX. <br>