forum.opennet.ru

Составление сообщения

Исходное сообщение

"Режим transparent firewall в cisco pix"
Отправлено InsiderMK, 08-Июн-09 09:49

Пытаюсь настроить cisco pix в режиме firewall transparent, но что-то никак не получается. С пикса пингуются и шлюз и внутренняя сетка за пиксом, я могу подключится по SSH или ASDM, но из сети наружу ничего не проходит. Шлюз не пингуется. Вот конфиг. По режиму transparent очень мало информации. Подскажите в чем может быть дело или где почитать?
PIX Version 8.0(4)
!
firewall transparent
!
hostname FW-GW
names
!
interface Ethernet0
nameif outside
security-level 0
!
interface Ethernet1
nameif inside
security-level 100
!
mtu outside 1500
mtu inside 1500
boot system flash:/pix804.bin
asdm image flash:/asdm-613.bin
no asdm history enable
ftp mode passive
access-list inside_access_in extended permit ip any any
access-group inside_access_in in interface inside
access-list outside_access_in extended permit icmp any any echo
access-list outside_access_in extended permit icmp any any echo-reply
access-list outside_access_in extended permit icmp any any source-quench
access-list outside_access_in extended permit icmp any any unreachable
access-list outside_access_in extended permit icmp any any time-exceeded
access-group outside_access_in in interface outside
ip address 85.233.xxx.yy 255.255.255.240
http server enable
http 85.233.xxx.zz 255.255.255.255 inside
ssh 85.233.xxx.zz 255.255.255.255 inside
pager lines 24
logging enable
logging asdm informational
icmp unreachable rate-limit 1 burst-size 1
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
prompt hostname context
: end

Исходное сообщение
"Режим transparent firewall в cisco pix" Отправлено InsiderMK, 08-Июн-09 09:49
Пытаюсь настроить cisco pix в режиме firewall transparent, но что-то никак не получается. С пикса пингуются и шлюз и внутренняя сетка за пиксом, я могу подключится по SSH или ASDM, но из сети наружу ничего не проходит. Шлюз не пингуется. Вот конфиг. По режиму transparent очень мало информации. Подскажите в чем может быть дело или где почитать? PIX Version 8.0(4) ! firewall transparent ! hostname FW-GW names ! interface Ethernet0 nameif outside security-level 0 ! interface Ethernet1 nameif inside security-level 100 ! mtu outside 1500 mtu inside 1500 boot system flash:/pix804.bin asdm image flash:/asdm-613.bin no asdm history enable ftp mode passive access-list inside_access_in extended permit ip any any access-group inside_access_in in interface inside access-list outside_access_in extended permit icmp any any echo access-list outside_access_in extended permit icmp any any echo-reply access-list outside_access_in extended permit icmp any any source-quench access-list outside_access_in extended permit icmp any any unreachable access-list outside_access_in extended permit icmp any any time-exceeded access-group outside_access_in in interface outside ip address 85.233.xxx.yy 255.255.255.240 http server enable http 85.233.xxx.zz 255.255.255.255 inside ssh 85.233.xxx.zz 255.255.255.255 inside pager lines 24 logging enable logging asdm informational icmp unreachable rate-limit 1 burst-size 1 arp timeout 14400 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global prompt hostname context : end

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Пытаюсь настроить cisco pix в режиме firewall transparent, но что-то никак не 
> получается. С пикса пингуются и шлюз и внутренняя сетка за пиксом, 
> я могу подключится по SSH или ASDM, но из сети наружу 
> ничего не проходит. Шлюз не пингуется. Вот конфиг. По режиму transparent 
> очень мало информации. Подскажите в чем может быть дело или где 
> почитать?

> PIX Version 8.0(4) 
> !
> firewall transparent 
> !
> hostname FW-GW 
> names 
> !
> interface Ethernet0 
>  nameif outside 
>  security-level 0 
> !
> interface Ethernet1 
>  nameif inside 
>  security-level 100 
> !

> mtu outside 1500 
> mtu inside 1500

> boot system flash:/pix804.bin 
> asdm image flash:/asdm-613.bin 
> no asdm history enable 
> ftp mode passive

> access-list inside_access_in extended permit ip any any 
> access-group inside_access_in in interface inside

> access-list outside_access_in extended permit icmp any any echo 
> access-list outside_access_in extended permit icmp any any echo-reply 
> access-list outside_access_in extended permit icmp any any source-quench 
> access-list outside_access_in extended permit icmp any any unreachable 
> access-list outside_access_in extended permit icmp any any time-exceeded 
> access-group outside_access_in in interface outside

> ip address 85.233.xxx.yy 255.255.255.240

> http server enable 
> http 85.233.xxx.zz 255.255.255.255 inside 
> ssh 85.233.xxx.zz 255.255.255.255 inside

> pager lines 24 
> logging enable 
> logging asdm informational 
> icmp unreachable rate-limit 1 burst-size 1 
> arp timeout 14400 
> timeout xlate 3:00:00 
> timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 
> timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 
> timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 
> timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute 
> dynamic-access-policy-record DfltAccessPolicy 
> no snmp-server location 
> no snmp-server contact 
> snmp-server enable traps snmp authentication linkup linkdown coldstart 
> crypto ipsec security-association lifetime seconds 28800 
> crypto ipsec security-association lifetime kilobytes 4608000 
> telnet timeout 5 
> ssh timeout 5 
> console timeout 0 
> threat-detection basic-threat 
> threat-detection statistics access-list 
> no threat-detection statistics tcp-intercept 
> !
> class-map inspection_default 
>  match default-inspection-traffic 
> !
> !
> policy-map type inspect dns preset_dns_map 
>  parameters 
>   message-length maximum 512 
> policy-map global_policy 
>  class inspection_default 
>   inspect dns preset_dns_map 
>   inspect ftp 
>   inspect h323 h225 
>   inspect h323 ras 
>   inspect rsh 
>   inspect rtsp 
>   inspect esmtp 
>   inspect sqlnet 
>   inspect skinny 
>   inspect sunrpc 
>   inspect xdmcp 
>   inspect sip 
>   inspect netbios 
>   inspect tftp 
> !
> service-policy global_policy global 
> prompt hostname context 
> : end

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру