https://opennet.dev/openforum/vsluhforumID6/21563.html Доброго времени суток!<br><br>Есть PIX 515e с 2мя интерфейсами (inside(192.168.4.249), outside (195.xxx.xxx.217)).<br>C помощью Cisco установлен VPN IPSec-тунель с другим офисом (192.168.{0,1,2}.0).<br>Есть WWW-сервер за CISCO IP для внешнего мира - 195.ххх.ххх.214, локальный IP - 192.168.4.6. На циске используется трансляция IP-адресов для 195.ххх.ххх.214<br>Проблема: невозможно обратиться к WWW-серверу по внешнему IP, извне работает, из локалки по локальному тоже работает.<br>-------------------------<br>Как я предполагаю нужно задать CISCO правило - аналог правила iptables вида:<br>iptables -t nat -A POSTROUTING -p tcp --dst 195.xxx.xxx.214 --dport 80 -j SNAT \<br>--to-source 192.168.4.6<br>Но написать не получилось<br>-------------------------<br>Конфиг:<br>----------------<br>PIX Version 6.3(5)<br>interface ethernet0 auto<br>interface ethernet1 auto<br>nameif ethernet0 outside security0<br>nameif ethernet1 inside security100<br>enable password ххх encrypted<br>passwd ххх encrypted<br>hostname SMPIX<br>domain-name ххх<br>fixup protocol dns maximum-l https://opennet.dev/openforum/vsluhforumID6/21563.html#5 Tue, 07 Sep 2010 13:38:52 GMT &gt;&gt;&gt;&gt;Вы имеете в виду, что у Вас не получается обратиться из локальной <br>&gt;&gt;&gt;&gt;сети по внешнему IP на Ваш WWW? <br>&gt;&gt;&gt;&gt;К сожалению, с Пиксами дело не имел, но могу просто предположить - <br>&gt;&gt;&gt;&gt;может быть у Вас нет трансляций для выхода из локальной сети <br>&gt;&gt;&gt;&gt;в интернет? Из вне во внутрь есть, а наоборот нет... <br>&gt;&gt;<br>&gt;&gt;Перечитал еще раз, сейчас попробую в этом направлении конфиг покрутить... <br>&gt;<br>&gt;только так... <br>&gt;http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml <br><br>Приходила в голову эта печальная мысль (3ий интерфейс для DMZ),<br>другие варианты?<br> https://opennet.dev/openforum/vsluhforumID6/21563.html#4 Tue, 07 Sep 2010 12:22:34 GMT &gt;&gt;&gt;Вы имеете в виду, что у Вас не получается обратиться из локальной <br>&gt;&gt;&gt;сети по внешнему IP на Ваш WWW? <br>&gt;&gt;&gt;К сожалению, с Пиксами дело не имел, но могу просто предположить - <br>&gt;&gt;&gt;может быть у Вас нет трансляций для выхода из локальной сети <br>&gt;&gt;&gt;в интернет? Из вне во внутрь есть, а наоборот нет... <br>&gt;<br>&gt;Перечитал еще раз, сейчас попробую в этом направлении конфиг покрутить... <br><br>только так...<br>http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml<br><br><br> https://opennet.dev/openforum/vsluhforumID6/21563.html#3 Tue, 07 Sep 2010 08:07:50 GMT &gt;&gt;Вы имеете в виду, что у Вас не получается обратиться из локальной <br>&gt;&gt;сети по внешнему IP на Ваш WWW? <br>&gt;&gt;К сожалению, с Пиксами дело не имел, но могу просто предположить - <br>&gt;&gt;может быть у Вас нет трансляций для выхода из локальной сети <br>&gt;&gt;в интернет? Из вне во внутрь есть, а наоборот нет... <br><br>Перечитал еще раз, сейчас попробую в этом направлении конфиг покрутить...<br> https://opennet.dev/openforum/vsluhforumID6/21563.html#2 Tue, 07 Sep 2010 06:51:57 GMT &gt;Вы имеете в виду, что у Вас не получается обратиться из локальной <br>&gt;сети по внешнему IP на Ваш WWW? <br>&gt;К сожалению, с Пиксами дело не имел, но могу просто предположить - <br>&gt;может быть у Вас нет трансляций для выхода из локальной сети <br>&gt;в интернет? Из вне во внутрь есть, а наоборот нет... <br><br>Спасибо за ответ,<br>веб-сервер находится в одной локалке с кучей клиентских машин (согласен, что не безопасно), которые нормально попадают в инет + с самого веб-сервера инет тоже есть, и IP на тест-сайтах правильный.<br> https://opennet.dev/openforum/vsluhforumID6/21563.html#1 Tue, 07 Sep 2010 05:52:23 GMT &gt;[оверквотинг удален]<br>&gt;telnet timeout 60 <br>&gt;ssh 0.0.0.0 0.0.0.0 outside <br>&gt;ssh 0.0.0.0 0.0.0.0 inside <br>&gt;ssh timeout 60 <br>&gt;console timeout 0 <br>&gt;terminal width 80 <br>&gt;: end <br>&gt;---------------- <br>&gt;Помогите пожалуйста, всё больше с Linux&FreeBSD сталкивался, <br>&gt;а тут Win-серваков куча без фаерволов и... <br><br>Вы имеете в виду, что у Вас не получается обратиться из локальной сети по внешнему IP на Ваш WWW?<br>К сожалению, с Пиксами дело не имел, но могу просто предположить - может быть у Вас нет трансляций для выхода из локальной сети в интернет? Из вне во внутрь есть, а наоборот нет...<br>