форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Объясните глупому плиз (nat, global, static)"
Сообщение от atdp03 on 20-Фев-03, 20:09  (MSK)
есть схема: пров .127.130 -> .127.129 [1760] .150.1 -> .150.2 [PIX 506] -> 192.168.5.0/24 1760 выполняет минимальную фильтрацию, и можно считать что тупо роутит из .150.0/27 во внешний мир и обратно. У PIX-а есть следующее: global (outside) 1 х.х.150.3-х.х.150.30 nat (inside) 1 192.168.5.0 255.255.255.0 0 0 static (inside,outside) х.х.150.4 192.168.5.23 netmask 255.255.255.255 0 0 Подразумевая что диапазон 3-30 будет использоваться исключительно для ната - никаких входящих соединений. Впрочем на входящем интерфейсе висело permit ip any 150.0/27. Привязка static существовала на единственную машинку. И тем не менее чисто случайно обнаружилось что на другие внутренние машины проходят пакеты снаружи. Пакеты проходят в частые моменты поточного сканирования снаружи, будучи оттранслированными pix-ом из внешнего адреса во внутренний, что видно по его логам. В качестве workaround-а в global был оставлен всего один ip - переключился на PAT. Однако кто-нибудь может мне объяснить почему это происходило раньше, и почему pix до сих пор считает что 150.0/27 находится в его распоряжении, ругаясь в логах на попытки обращения снаружи "Deny inbound (no xlate)"? При том что 150.0/27 в данный момент упоминается в конфиге только как подсеть его внешнего адреса? PS: reload не делал, clear xlate делал, из внешнего-входящего acl все кроме icmp убрал. 8)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Объясните глупому плиз (nat, global, static)"
Сообщение от Volume on 20-Фев-03, 21:02  (MSK)
весь конфиг пикса покажите только ип не вырезайте, это сильно дезориентирует ну или на мыло khj1@mail.ru
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: Объясните глупому плиз (nat, global, static)"
	Сообщение от atdp03 on 21-Фев-03, 10:42  (MSK)
	>весь конфиг пикса покажите : Saved : PIX Version 6.2(2) nameif ethernet0 outside security0 nameif ethernet1 inside security100 clock timezone MSK/MSD 3 clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00 fixup protocol ftp 21 fixup protocol http 80 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol ils 389 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol sip 5060 fixup protocol skinny 2000 names access-list ext-eth0-in permit ip any 202.247.150.0 255.255.255.224 > в данный момент тут разрешено только icmp access-list int-eth1-in permit ip any any pager lines 40 logging on logging buffered debugging logging trap warnings logging host inside 192.168.5.21 interface ethernet0 10baset interface ethernet1 10baset mtu outside 1500 mtu inside 1500 ip address outside 202.247.150.2 255.255.255.224 ip address inside 192.168.5.254 255.255.255.0 ip audit info action alarm ip audit attack action alarm no pdm history enable arp timeout 14400 global (outside) 1 202.247.150.3-202.247.150.30 > в данный момент это выглядит как > global (outside) 1 202.247.150.3 nat (inside) 1 192.168.5.0 255.255.255.0 0 0 static (inside,outside) 202.247.150.4 192.168.5.23 netmask 255.255.255.255 0 0 > сейчас этой строчки нет access-group ext-eth0-in in interface outside access-group int-eth1-in in interface inside route outside 0.0.0.0 0.0.0.0 202.247.150.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt route dnat > кто-нибудь может объяснить нормально эту строчку? Моего аглицкого не хватает на это: http://www.cisco.com/en/US/products/sw/netmgtsw/ps2032/products_installation_guide_chapter09186a008007d380.html#1007739 . 8) telnet 62.16.101.101 255.255.255.255 outside telnet 192.168.5.19 255.255.255.255 inside telnet 192.168.5.21 255.255.255.255 inside telnet timeout 5 ssh timeout 5 terminal width 80 : end
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: Объясните глупому плиз (nat, global, static)"
	Сообщение от Volume on 21-Фев-03, 16:49  (MSK)
	>>весь конфиг пикса покажите > >: Saved >: >PIX Version 6.2(2) >nameif ethernet0 outside security0 >nameif ethernet1 inside security100 >clock timezone MSK/MSD 3 >clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00 > >fixup protocol ftp 21 >fixup protocol http 80 >fixup protocol h323 h225 1720 >fixup protocol h323 ras 1718-1719 >fixup protocol ils 389 >fixup protocol rsh 514 >fixup protocol rtsp 554 >fixup protocol smtp 25 >fixup protocol sqlnet 1521 >fixup protocol sip 5060 >fixup protocol skinny 2000 >names >access-list ext-eth0-in permit ip any 202.247.150.0 255.255.255.224 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ а зачем вы написали ТАКОЙ ACL? этим вы разрешаете коннект снаружи и на адрес, который используется в НАТ-е если коннект снаружи не нужен (т.е. нет у вас внутри днс, почтового сервера и тд - вообще ACL можно не ставить) >> в данный момент тут разрешено только icmp >access-list int-eth1-in permit ip any any >pager lines 40 >logging on >logging buffered debugging >logging trap warnings >logging host inside 192.168.5.21 >interface ethernet0 10baset >interface ethernet1 10baset >mtu outside 1500 >mtu inside 1500 >ip address outside 202.247.150.2 255.255.255.224 >ip address inside 192.168.5.254 255.255.255.0 >ip audit info action alarm >ip audit attack action alarm >no pdm history enable >arp timeout 14400 >global (outside) 1 202.247.150.3-202.247.150.30 >> в данный момент это выглядит как >> global (outside) 1 202.247.150.3 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ укажите все таки так на всякий случай: global (outside) 1 202.247.150.3 netmask ваша_маска >nat (inside) 1 192.168.5.0 255.255.255.0 0 0 >static (inside,outside) 202.247.150.4 192.168.5.23 netmask 255.255.255.255 0 0 >> сейчас этой строчки нет >access-group ext-eth0-in in interface outside >access-group int-eth1-in in interface inside >route outside 0.0.0.0 0.0.0.0 202.247.150.1 1 >timeout xlate 3:00:00 >timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip >0:30:00 sip_media 0:02:00 >timeout uauth 0:05:00 absolute >aaa-server TACACS+ protocol tacacs+ >aaa-server RADIUS protocol radius >aaa-server LOCAL protocol local >no snmp-server location >no snmp-server contact >snmp-server community public >no snmp-server enable traps >floodguard enable >sysopt route dnat ^^^^^^^^^^^^^^^^^^^^^^^ выключите это >> кто-нибудь может объяснить нормально эту строчку? Моего аглицкого не хватает на это: http://www.cisco.com/en/US/products/sw/netmgtsw/ps2032/products_installation_guide_chapter09186a008007d380.html#1007739 . 8) >telnet 62.16.101.101 255.255.255.255 outside >telnet 192.168.5.19 255.255.255.255 inside >telnet 192.168.5.21 255.255.255.255 inside >telnet timeout 5 >ssh timeout 5 >terminal width 80 >: end
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: Объясните глупому плиз (nat, global, static)"
	Сообщение от atdp03 on 21-Фев-03, 18:51  (MSK)
	>>>весь конфиг пикса покажите >> >>PIX Version 6.2(2) >>nameif ethernet0 outside security0 >>nameif ethernet1 inside security100 >>names >>access-list ext-eth0-in permit ip any 202.247.150.0 255.255.255.224 >^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ >а зачем вы написали ТАКОЙ ACL? >этим вы разрешаете коннект снаружи и на адрес, который используется в НАТ-е Его в данный момент уже нету. (см чуть ниже) Однако проблемы это не решило. А вообще за ним планировалась мыльница. Осталось только icmp. В принципе, наверное и его временно оставлю только на сам пикс, для траблешутинга. >если коннект снаружи не нужен (т.е. нет у вас внутри днс, почтового >сервера и тд - вообще ACL можно не ставить) > >>> в данный момент тут разрешено только icmp >>access-list int-eth1-in permit ip any any >>ip address outside 202.247.150.2 255.255.255.224 >>ip address inside 192.168.5.254 255.255.255.0 >>global (outside) 1 202.247.150.3-202.247.150.30 >>> в данный момент это выглядит как >>> global (outside) 1 202.247.150.3 >^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ >укажите все таки так на всякий случай: >global (outside) 1 202.247.150.3 netmask ваша_маска Сделал. Однако sh run показывает то же самое. >>access-group ext-eth0-in in interface outside >>access-group int-eth1-in in interface inside >>route outside 0.0.0.0 0.0.0.0 202.247.150.1 1 >>sysopt route dnat >^^^^^^^^^^^^^^^^^^^^^^^ >выключите это После двух телодвижений (этого и по маске), дало результат: ... Host  (202.247.150.9) appears to be down, skipping it. Host  (202.247.150.10) appears to be down, skipping it. Host  (202.247.150.11) appears to be down, skipping it. ... Спасибо, все что нужно - получилось. Остались теоретические вопросы: С какого перепугу он вообще реагирует на чужие пакеты при отсутствии явно заданного маппинга? Где-нибудь задается его поведение в такой ситуации? nmap говорил что у всех чужих адресов открыты но зафильтрованы порты 137-138-139/tcp. Это фича? И чисто идеологический вопрос: PIX 2-х портовый. DMZ в чистом виде организовать не получится. Имеет смысл ставить Exchange внутри? Или все-таки пожертвовать им и выставить перед пиксом? Я склоняюсь ко второму варианту ибо силу множества обстоятельств, поставить нормальный юниксовый mta не получится.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: Объясните глупому плиз (nat, global, static)"
	Сообщение от Volume on 21-Фев-03, 20:30  (MSK)
	>Спасибо, все что нужно - получилось. >Остались теоретические вопросы: >С какого перепугу он вообще реагирует на чужие пакеты при отсутствии явно >заданного маппинга? ------------------------------------- я все-таки придерживаюсь мнения, что все из-за ACL-а >Где-нибудь задается его поведение в такой ситуации? nmap говорил что у всех >чужих адресов открыты но зафильтрованы порты 137-138-139/tcp. Это фича? --------------------------------------- если вы сканируете тот адрес, через который все натятся, nmap должен говорить Host is down >И чисто идеологический вопрос: PIX 2-х портовый. DMZ в чистом виде организовать >не получится. Имеет смысл ставить Exchange внутри? Или все-таки пожертвовать им >и выставить перед пиксом? ---------------------------------- зачем выставлять перед пиксом всеми портами, когда можно выставить его через статик только одним портом? я работаю в ОЧЕНЬ крупной корпорации, только в россии около 1100 человек и стандарт у нас - Exchange. Пока (уже лет 9 чтоли?), как бы его не ставили, никаких проблем не было, главное грамотное администрирование и своевременные апдейты. >Я склоняюсь ко второму варианту ибо силу множества обстоятельств, поставить нормальный юниксовый >mta не получится.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: Объясните глупому плиз (nat, global, static)"
	Сообщение от atdp03 on 24-Фев-03, 18:28  (MSK)
	>>Где-нибудь задается его поведение в такой ситуации? nmap говорил что у всех >>чужих адресов открыты но зафильтрованы порты 137-138-139/tcp. Это фича? >--------------------------------------- >если вы сканируете тот адрес, через который все натятся, nmap должен говорить >Host is down Да. Так и есть. А на все остальные, чужие адреса, говорилось то что я писал выше. Я так понимаю что это фича, но где бы еще посмотреть как ей можно рулить... 8) >>И чисто идеологический вопрос: PIX 2-х портовый. DMZ в чистом виде организовать >>не получится. Имеет смысл ставить Exchange внутри? Или все-таки пожертвовать им >>и выставить перед пиксом? >---------------------------------- >зачем выставлять перед пиксом всеми портами, когда можно выставить его через статик >только одним портом? > >я работаю в ОЧЕНЬ крупной корпорации, только в россии около 1100 человек >и стандарт у нас - Exchange. Пока (уже лет 9 чтоли?), >как бы его не ставили, никаких проблем не было, главное грамотное >администрирование и своевременные апдейты. Моя компания на порядок поменьше, но exchange видимо судьба ставить. Просто в случае пролома, атакующий оказывается во внутренней сети, чего сильно не хочется. А 100% гарантии неуязвимости я не дам при всем желании. 8)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "RE: Объясните глупому плиз (nat, global, static)"
	Сообщение от Volume on 24-Фев-03, 18:50  (MSK)
	ну тогда уж ip audit включите, раз он есть
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "RE: Объясните глупому плиз (nat, global, static)"
	Сообщение от Real on 25-Фев-03, 00:06  (MSK)
	>И чисто идеологический вопрос: PIX 2-х портовый. DMZ в чистом виде организовать >не получится. Имеет смысл ставить Exchange внутри? Или все-таки пожертвовать им >и выставить перед пиксом? >Я склоняюсь ко второму варианту ибо силу множества обстоятельств, поставить нормальный юниксовый >mta не получится. Ставить Exchange перед PIX не рекомендует сам Микрософт. Кстати, PIX из двухпортового превращается в трехпортовый обычной Intel'овской картой (там PCI 32-битный) за 25$... ;-)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "RE: Объясните глупому плиз (nat, global, static)"
	Сообщение от atdp03 on 25-Фев-03, 00:12  (MSK)
	>>И чисто идеологический вопрос: PIX 2-х портовый. DMZ в чистом виде организовать >>не получится. Имеет смысл ставить Exchange внутри? Или все-таки пожертвовать им >>и выставить перед пиксом? >>Я склоняюсь ко второму варианту ибо силу множества обстоятельств, поставить нормальный юниксовый >>mta не получится. > >Ставить Exchange перед PIX не рекомендует сам Микрософт. Кстати, PIX из двухпортового >превращается в трехпортовый обычной Intel'овской картой (там PCI 32-битный) за 25$... >;-) Хм. Красивая идея. 8) А с иосом заморочек не получится? Он это съест?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "RE: Объясните глупому плиз (nat, global, static)"
	Сообщение от Volume on 25-Фев-03, 10:09  (MSK)
	1. интел выпускает моделей 9 "обычных интеловских карточек", какую именно вы имеете ввиду? :) 2. Как на это посмотрит циска, в случае выхода пикса из строя? :) Думаю что вы останетесь без гарантии 3. А как насчет ссылки, где майкрософт не рекомендует ставить exchange перед pix? :))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "RE: Объясните глупому плиз (nat, global, static)"
	Сообщение от atdp03 on 25-Фев-03, 10:20  (MSK)
	>1. интел выпускает моделей 9 "обычных интеловских карточек", какую именно вы имеете >ввиду? :) Учитывая что писк 506-й, с 2-мя десятками, количество моделей заметно сокращается. Если будет время, вечером вскрою, посмотрю чипы. Это даст однозначный ответ. >2. Как на это посмотрит циска, в случае выхода пикса из строя? Эмм... Если там нормальная pci, не втыкать карточки на ходу, и не срывать дубовой отверткой шлицы на винтах, я думаю проблем быть не должно. ;-) Мне больше интересно съест ли иос внеплановую карточку, на аналогичном чипе. >:) Думаю что вы останетесь без гарантии >3. А как насчет ссылки, где майкрософт не рекомендует ставить exchange перед >pix? :)) Чисто теоретически? Ведь пришли ведь к соглашению что действительно так. 8)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "RE: Объясните глупому плиз (nat, global, static)"
	Сообщение от Volume on 25-Фев-03, 10:23  (MSK)
	>>1. интел выпускает моделей 9 "обычных интеловских карточек", какую именно вы имеете >>ввиду? :) > >Учитывая что писк 506-й, с 2-мя десятками, количество моделей заметно сокращается. Если >будет время, вечером вскрою, посмотрю чипы. Это даст однозначный ответ. > >>2. Как на это посмотрит циска, в случае выхода пикса из строя? > >Эмм... Если там нормальная pci, не втыкать карточки на ходу, и не >срывать дубовой отверткой шлицы на винтах, я думаю проблем быть не >должно. ;-) >Мне больше интересно съест ли иос внеплановую карточку, на аналогичном чипе. судя по всему вы все-таки не поняли, о чем я спрашивал > >>:) Думаю что вы останетесь без гарантии >>3. А как насчет ссылки, где майкрософт не рекомендует ставить exchange перед >>pix? :)) > >Чисто теоретически? Ведь пришли ведь к соглашению что действительно так. 8)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "RE: Объясните глупому плиз (nat, global, static)"
	Сообщение от Real on 25-Фев-03, 14:53  (MSK)
	>1. интел выпускает моделей 9 "обычных интеловских карточек", какую именно вы имеете >ввиду? :) >2. Как на это посмотрит циска, в случае выхода пикса из строя? >:) Думаю что вы останетесь без гарантии >3. А как насчет ссылки, где майкрософт не рекомендует ставить exchange перед >pix? :)) 1. Сейчас в соседней стойке в 515 PIXе стоит IBM 10/100 EtherJet PCI adapter FRU 86H2423 - сделано Intel, чипсет - S8255(7). Те цисковские карты, что я видел - аналогичные. Но есть и другие. 2. Ничего подобного. PIX (515/525) внутри - x86, там все стандартное. Я не предлагаю "заливать компаундом". ;-) Поддерживает или не поддерживает ОС - другой вопрос (см. 1). К тому же у карт обычно выходит из строя интерфейсная часть с физическим Ethernet, а не PCI. 3. Ну это было бы глупо с точки зрения маркетинга. Но такое мнение высказали тех. специалисты Микрософта в на совещании (г. Арлингтон) по поводу организации почтовой системы на 70 узлов на базе Exchange. Если есть любители экспериментов, поставьте без защиты W2K/SP1 (на SP3 уже не проходит) в Inet, прикрутите IDS (ну или хоть что-нибудь) и посмотрите что будет происходить... Самое интересное начнется уже на второй-третий день. Я результат знаю.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "RE: Объясните глупому плиз (nat, global, static)"
	Сообщение от HUGO on 27-Фев-03, 08:50  (MSK)
	515 пикс intel pro 100+ management отлично работал, вот только для использования более 3 портов лицензия нужна (ключик) а он за денежку на циске даётся.... бесплатно они вообще, кажется, только VPN-DES ключ дают буржуи. так что сейчас стоит цисковская родная карта.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.