: interfejs ethernet0 zaadresowany jest adresem publicznym 217.153.x.x
: na PIX-ie uruchomiona jest translacja adresow PAT (wszystkie adresy sieci
: wewnetrznej wychodza na zewnatrz z adresem interfejsu ethernet0
: (217.153.x.x). W sieci wewnetrznej wszystko jest OK. Komputery z tej sieci
: komunikuja sie bez problemow z internetem. Chcialbym teraz umozliwic
: polaczenie komputerom z sieci zewnetrznej do konkretnego komputera po
: stronie interfejsuwewnetrznego o adresie 192.168.0.y (Win2k) wykorzystujac
: podlaczenie pulpitu zdalnego. Wiem ze do tego celu sluzy polecenie conduit.
Oj, przy PAT to chyba Ci nie zadziała.
Jeśli masz jeden wolny jeszcze adres, zrób static NAT dla tego Win2k, i
wtedy powinno zadziałać.
Witam.
Posiadam Cisco PIX 506E. Podstawowa konfiguracja wyglada nastepujaco:
interfejs ethernet1 zaadresowany jest adresem sieci wewnetrznej klasy c:
192.168.0.x
interfejs ethernet0 zaadresowany jest adresem publicznym 217.153.x.x
na PIX-ie uruchomiona jest translacja adresow PAT (wszystkie adresy sieci
wewnetrznej wychodza na zewnatrz z adresem interfejsu ethernet0
(217.153.x.x). W sieci wewnetrznej wszystko jest OK. Komputery z tej sieci
komunikuja sie bez problemow z internetem. Chcialbym teraz umozliwic
polaczenie komputerom z sieci zewnetrznej do konkretnego komputera po
stronie interfejsuwewnetrznego o adresie 192.168.0.y (Win2k) wykorzystujac
podlaczenie pulpitu zdalnego. Wiem ze do tego celu sluzy polecenie
conduit.
Jako dokumentacji uzywam ksiazki MIKOM Cisco Secure PIX Firewalls.
Teoretycznie robilem wszystko tak jak w ksiazce i niestety nie dziala.
Prosze o pomoc.
za patem nie bedzie dzialalo
musi byc static
jak masz tylko jeden adres publiczny dla siebie, ktory jest przypisany do
interfejsu to tylko PAT ci zostaje i nie ma mozliwosci dostania sie do
serwisow wewnatrz sieci z zewnatrz nawet jezeli masz conduit
poza tym conduits to straszzzznie przestarzala rzecz, uzywaj access-list i
access-group
jezeli masz dwa adresy publiczne to daj znac a napisze ci konfiguracje jak
to zrobic zeby dzialalo...
przemD
Witam
Zrob cos takiego
static (inside,outside) 217.153.x.x 192.168.0.y netmask 255.255.255.255 0 0
conduit permit host 217.153.x.x eq (tu posaj numer portu) host (adres
komputera z ktorego sie chcesz laczyc)
Grzegorz
-----Original Message-----
Sent: Wednesday, April 07, 2004 5:09 PM
Subject: Cisco PIX - conduit?
Witam.
Posiadam Cisco PIX 506E. Podstawowa konfiguracja wyglada nastepujaco:
interfejs ethernet1 zaadresowany jest adresem sieci wewnetrznej klasy c:
192.168.0.x
interfejs ethernet0 zaadresowany jest adresem publicznym 217.153.x.x
na PIX-ie uruchomiona jest translacja adresow PAT (wszystkie adresy sieci
wewnetrznej wychodza na zewnatrz z adresem interfejsu ethernet0
(217.153.x.x). W sieci wewnetrznej wszystko jest OK. Komputery z tej sieci
komunikuja sie bez problemow z internetem. Chcialbym teraz umozliwic
polaczenie komputerom z sieci zewnetrznej do konkretnego komputera po
stronie interfejsuwewnetrznego o adresie 192.168.0.y (Win2k) wykorzystujac
podlaczenie pulpitu zdalnego. Wiem ze do tego celu sluzy polecenie conduit.
Jako dokumentacji uzywam ksiazki MIKOM Cisco Secure PIX Firewalls.
Teoretycznie robilem wszystko tak jak w ksiazce i niestety nie dziala.
Prosze o pomoc.
Suchy
static (inside,outside) 217.153.x.x 192.168.0.y netmask 255.255.255.255 0
0
conduit permit host 217.153.x.x eq (tu posaj numer portu) host (adres
komputera z ktorego sie chcesz laczyc)
to nie zadziala... kolega pisze ze ma przypisany adres publiczny IP do
interfejsu
jezeli mialby drugi. inny IP to by zadzialalo
protokolu ktory chcesz wpuscic (tcp, udp, ip, icmp)
przemD
Posiadam Cisco PIX 506E. Podstawowa konfiguracja wyglada nastepujaco:
interfejs ethernet1 zaadresowany jest adresem sieci wewnetrznej klasy c:
192.168.0.x
interfejs ethernet0 zaadresowany jest adresem publicznym 217.153.x.x
na PIX-ie uruchomiona jest translacja adresow PAT (wszystkie adresy sieci
wewnetrznej wychodza na zewnatrz z adresem interfejsu ethernet0
(217.153.x.x). W sieci wewnetrznej wszystko jest OK. Komputery z tej sieci
komunikuja sie bez problemow z internetem. Chcialbym teraz umozliwic
polaczenie komputerom z sieci zewnetrznej do konkretnego komputera po
stronie interfejsuwewnetrznego o adresie 192.168.0.y (Win2k) wykorzystujac
podlaczenie pulpitu zdalnego. Wiem ze do tego celu sluzy polecenie
conduit.
Jako dokumentacji uzywam ksiazki MIKOM Cisco Secure PIX Firewalls.
Teoretycznie robilem wszystko tak jak w ksiazce i niestety nie dziala.
Prosze o pomoc.
TO CO OPISUJE PONIZEJ NIE DZIALA !!!
pisze to bo zanim zaczalem tesowac wydawalo mi sie ze powinno dzialac...
ale mozesz sprobowac cos takiego, moze zadziala: (NIE DZIALA)
1. stat (inside,outside) interface 192.168.0.x
2. access-list a_out permit tcp any host adres_IP_interfejsu_zewnetrznego eq
80
3. access-group in interface outside
1. komenda przypisuje do twojego hosta 192.168.0.x adres interfejsu outside
2. access-list wpuszczajaca z calego swiata usluge WWW na 192.168.0.x
3. access-lista zostaje dowiazana do interfejsu outside
wlasnie to zrobilem u siebie na testowej maszynie - NIE DZIALA !!! NIE ROB
TAK !!! rozlaczylo mnie z pixem i nie mam z nim komunikacji... ide do
sewerowni podpiac sie konsola ;-)))
milego !
przem
dzieki za pomoc
zanim przeczytalem newsy zorientowalem sie o co chodzi.mieliscie racje z
PAT-em nie dziala.Uruchomilem normalny NAT (globalem) i dziala.
Mam w zwiazku z tym jeszcze jedno pytanie.Ze wzgledu na ograniczona ilosc
publicznych adresow IP, czy istnieje mozliwosc umozliwienia polaczen z
zewnatrz do wewnatrz na wieksza ilosc komputerow znajdujacych sie w sieci
prywatnej. Slyszalem ze VPN moze tu pomoc.
dzieki
Suchy
zanim przeczytalem newsy zorientowalem sie o co chodzi.mieliscie racje z
PAT-em nie dziala.Uruchomilem normalny NAT (globalem) i dziala.
Mam w zwiazku z tym jeszcze jedno pytanie.Ze wzgledu na ograniczona ilosc
publicznych adresow IP, czy istnieje mozliwosc umozliwienia polaczen z
zewnatrz do wewnatrz na wieksza ilosc komputerow znajdujacych sie w sieci
prywatnej. Slyszalem ze VPN moze tu pomoc.
zalezy czego potrzebujesz
jest kilka sposobow:
1. przekierowanie portow - masz 1 adres IP publiczny na ktory w zaleznosci o
portu/uslugi mozesz dostawac sie do roznych kompow wewnatrz sieci (static)
2. jeden publiczny na jeden prywatny (static)
3. VPN (kupa niemilej zabawy)
do punktow 1 i 2 pamietaj ze dostep bedzie taki jaki dasz, kazdy user
internetu
do punktu 3 kazdy kto bedzie chcial skorzystac z twoich zasoboow bedzie
musial miec zainstalowanego klienta VPN
przemD
| zalezy czego potrzebujesz
| jest kilka sposobow:
| 1. przekierowanie portow - masz 1 adres IP publiczny na ktory w zaleznosci
o
| portu/uslugi mozesz dostawac sie do roznych kompow wewnatrz sieci (static)
| 2. jeden publiczny na jeden prywatny (static)
| 3. VPN (kupa niemilej zabawy)
| do punktow 1 i 2 pamietaj ze dostep bedzie taki jaki dasz, kazdy user
| internetu
| do punktu 3 kazdy kto bedzie chcial skorzystac z twoich zasoboow bedzie
| musial miec zainstalowanego klienta VPN
| przemD
wlasnie chodzi o to ze uzytkownicy z zewnatrz beda sie laczyc do kilku
komputerow wewnatrz wykorzystujac ten sam port poniewaz beda to polaczenie
terminalowe.wiec przekierowanie portow odpada.chyba bez VPN sie nie
Znaczy jakiś telnet czy coś takiego?
Nie ma problemu, o ile klient ma mozliwośc łączenia się na innym porcie
niż standardowy. Na przykład telnet na port 2101 to maszyna 1, na port 2002
to maszyna 2 itd.
PS. Nie wiem jak to skonfigurować na PIX-ie, natomieat ja podobnie
rozwiązałem dostęp przez VNC do maszyn za NAT-em.