Cisco PIX

Timofey

Member
Joined
Mar 26, 2004
Messages
16
Reaction score
0
Age
30
Подскажите пожалуйста, можно ли на Cisco Pix сделать трансляцию destination и source адрес на outside интерфейсе, аналогично iptables:

iptables -t nat -A PREROUTING -p tcp -d 10.13.48.10 --dport 80 -j DNAT --to 10.22.50.3
iptables -t nat -A POSTROUTING -p tcp -d 10.22.50.3 --dport 80 -j SNAT --to 10.13.48.10

и если можно, то как?


10.13.48.10 - Pix слушает этот адрес на outside интерфейсе
10.22.50.3 - адрес во внешней сети со стороны outside интерфейса

Cisco PIX Firewall Version 6.3(1)
Cisco PIX Device Manager Version 3.0(1)
Hardware: PIX-515E, 64 MB RAM, CPU Pentium II 433 MHz

Спасибо
 

nemox

Member
Joined
Feb 15, 2004
Messages
30
Reaction score
1
Age
47
Location
Израиль
Немного непонятно как сеть выглядит ?
Если можешь по подробнее ( в таком порядке ) :
int inside --> ip add x.x.x.x
int outside --> ip add x.x.x.x
PAT translation откуда куда ?

==

p.s
NAT / PAT мона в принципе на обoих интерфейсах настроить
 

Timofey

Member
Joined
Mar 26, 2004
Messages
16
Reaction score
0
Age
30
Можно и поподробнее, есть головной офис и куча филиалов, связанные через провайдера с головным офисом (Frame Relay, топология hub-and-spoke) . После маршрутизатора в головном офисе стоит Pix. Причем доступа к маршрутизаторам нет, все они в ведении провайдера. В сети провайдера есть сервер, к которому пакеты маршрутизируются только из головного офиса, задача состоит в том, чтобы при обращении на адрес, который слушает Pix на внешнем интерфейсе сделать DNAT на адрес этого сервера, ну и чтобы пакеты вернулись обратно на Pix и обратно в филиалы сделать SNAT на адрес на Pix, в общем пробросить пакеты от филиалов с внешнего интерфейса Pix на сервак во внешней сети и обратно. В общем, как это можно сделать с помощью iptabes, подменив destination и source адрес и завернув таким образом пакеты на внешнем интерфейсе

iptables -t nat -A PREROUTING -p tcp -d 10.13.48.10 --dport 80 -j DNAT --to 10.22.50.3
iptables -t nat -A POSTROUTING -p tcp -d 10.22.50.3 --dport 80 -j SNAT --to 10.13.48.10

Уж очень не хочется городить огород из прокси сервера или линукс машины, которая бы это делала

Вот конфиг пикса

pixfirewall# sh run
: Saved
:
PIX Version 6.3(1)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password ... encrypted
passwd ... encrypted
hostname pixfirewall
domain-name aaaaa.com
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names
object-group network branch_networks
description Branch WANs
network-object 10.13.16.0 255.255.255.0
network-object 10.13.17.0 255.255.255.0
network-object 10.13.18.0 255.255.255.0
network-object 10.13.32.0 255.255.255.0
network-object 10.13.48.0 255.255.255.0
network-object 10.13.52.0 255.255.255.0
network-object 10.13.53.0 255.255.255.0
network-object 10.13.55.0 255.255.255.0
network-object 10.13.64.0 255.255.255.0
network-object 10.13.80.0 255.255.255.0
network-object 10.13.96.0 255.255.255.0
network-object 10.13.112.0 255.255.255.0
network-object 10.13.128.0 255.255.255.0
network-object 10.13.144.0 255.255.255.0
network-object 10.13.160.0 255.255.255.0
network-object 10.13.176.0 255.255.255.0
network-object 10.13.192.0 255.255.255.0
network-object 10.13.208.0 255.255.255.0
network-object 10.13.209.0 255.255.255.0
network-object 10.13.210.0 255.255.255.0
network-object 10.13.211.0 255.255.255.0
network-object 10.13.224.0 255.255.255.0
network-object 10.13.145.0 255.255.255.0
network-object 10.0.51.142 255.255.255.255
network-object 10.13.113.0 255.255.255.0
network-object 10.13.177.0 255.255.255.0
network-object 10.13.57.1 255.255.255.255
network-object 10.13.57.2 255.255.255.255
network-object 10.13.57.129 255.255.255.255
network-object 10.13.98.0 255.255.255.0
network-object 10.13.97.0 255.255.255.0
network-object 10.26.0.141 255.255.255.255
network-object 10.26.0.140 255.255.255.255
network-object 10.36.48.210 255.255.255.255
network-object 10.26.3.13 255.255.255.255
network-object 10.26.3.3 255.255.255.255
object-group service allowed_ports tcp
description Allowed TCP Ports
port-object eq www
port-object eq 7778
port-object eq 8080
port-object eq 8082
port-object eq 8083
port-object eq 7779
object-group service cm_ports tcp
port-object eq 7730
port-object eq 7731
object-group icmp-type allowed_icmp
description Allowed ICMP Packets
icmp-object echo-reply
access-list acl_outside permit tcp object-group branch_networks host 10.13.48.7 object-group allowed_ports
access-list acl_outside permit tcp object-group branch_networks host 10.13.48.2 object-group cm_ports
access-list acl_outside permit icmp object-group branch_networks interface outside object-group allowed_icmp
access-list acl_outside permit tcp object-group branch_networks host 10.13.48.11
access-list acl_outside permit udp object-group branch_networks host 10.13.48.11
access-list acl_outside permit icmp object-group branch_networks host 10.13.48.11
access-list acl_outside permit tcp object-group branch_networks host 10.13.48.3 object-group allowed_ports
access-list acl_outside permit tcp object-group branch_networks host 10.13.48.13
access-list acl_outside permit udp object-group branch_networks host 10.13.48.13
access-list acl_outside permit icmp object-group branch_networks host 10.13.48.13
access-list acl_outside compiled
pager lines 24
icmp permit any unreachable outside
mtu outside 1500
mtu inside 1500
ip address outside 10.13.48.1 255.255.255.0
ip address inside 167.33.33.2 255.255.0.0
ip verify reverse-path interface outside
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 167.33.0.0 255.255.0.0 0 0
static (inside,outside) tcp 10.13.48.7 www 167.33.33.14 www netmask 255.255.255.255 0 0
static (inside,outside) tcp 10.13.48.7 8082 167.33.33.14 8082 netmask 255.255.255.255 0 0
static (inside,outside) tcp 10.13.48.2 7730 167.33.33.5 7730 netmask 255.255.255.255 0 0
static (inside,outside) tcp 10.13.48.2 7731 167.33.33.5 7731 netmask 255.255.255.255 0 0
static (inside,outside) tcp 10.13.48.7 7778 167.33.33.14 7778 netmask 255.255.255.255 0 0
static (inside,outside) tcp 10.13.48.7 8083 167.33.33.18 8083 netmask 255.255.255.255 0 0
static (inside,outside) tcp 10.13.48.7 7779 167.33.33.18 7779 netmask 255.255.255.255 0 0
static (inside,outside) tcp 10.13.48.7 8080 167.33.33.17 8080 netmask 255.255.255.255 0 0
static (inside,outside) tcp 10.13.48.3 www 167.33.33.1 www netmask 255.255.255.255 0 0
static (inside,outside) 10.13.48.11 167.33.34.171 netmask 255.255.255.255 0 0
static (inside,outside) 10.13.48.13 167.33.34.237 netmask 255.255.255.255 0 0
access-group acl_outside in interface outside
route outside 0.0.0.0 0.0.0.0 10.13.48.253 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 167.33.0.0 255.255.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet 167.33.0.0 255.255.0.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:c51ca100c35bc03c2b12154e3bad8b8f
: end
 

nemox

Member
Joined
Feb 15, 2004
Messages
30
Reaction score
1
Age
47
Location
Израиль
Честно говоря грузанул ты серьёзно :)
А поскольку я не волшебник ( ССIE ),
А только учусь ( ССNA )
Надо подумать будет денёк другой :) ( свои клиенты тоже чего постоянно хотят )
Держись пока .
 
Top