понедельник, 12 октября 2009 г.

настройка cisco pix firewall - хитрости с натом

В силу служебных обязанностей управляю данной железкой - cisco pix firewall (как и прочим сетевым оборудованием данной фирмы). Обученные работать с данными железками сотрудники сбежали уволились, обучать новых никто не думает, и приходится учиться и доходить до всего своими мозгами и гуглом.

Так вот хочу описать несколько настроек, вменяемого описания которых не нашел в интернете и находил выход методом научного тыка проб и ошибок.


Итак расстановка (имена и явки изменены):
Имеются интерфейсы
inside - 192.168.0.1
outside 192.0.2.1
внутри живут адреса 192.168.0.0 255.255.255.0
снаружи компании зарезервирован диапазон из нескольких ip адресов, скажем 192.0.2.0 255.255.255.224

компьютеры ходят в интернет через нат - все внутренние адреса транслируются в 192.0.2.1

Потребовалось пустить часть пользователей через другой внешний адрес, при этом вариант о выдаче внешних статических адресов, использовании прокси или изменения настроек на самих компьютерах не проходил.

Итак:
enable, configure terminal, молитва, поехали

Что было внутри

interface Ethernet0
speed 100
duplex full
nameif outside
security-level 0
ip address 192.0.2.1 255.255.255.224
!
interface Ethernet1
speed 100
duplex full
no nameif
no security-level
no ip address
!
interface Ethernet1.6
vlan 6 # про вланы отдельная история
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!

access-list test_nat extended permit ip 192.168.0.0 255.255.255.0 any
global (outside) 1 interface
nat (inside) 1 access-list test_nat # убил бы за такое название если б нашел кого!!!

Во всех примерах, что нахожу, предлагают просто
static (inside,outside) 192.0.2.2 192.168.0.200 netmask 255.255.255.255
Так работают внешние сервева, вроде почтового или веб сервера, но это не подходит для новой задачи, наружу хотят многие а адресов мало.

Экспериментирую с вторым натом
access-list special_nat extended permit ip 192.168.0.200 255.255.255.0 77.88.21.11 255.255.255.255
access-list special_nat extended permit ip 192.168.0.10 255.255.255.0 77.88.21.11 255.255.255.255
nat (inside) 2 access-list special_nat
не работает.

догадываюсь про порядок выполнения условий
no nat (inside) 1 access-list test_nat
nat (inside) 1 access-list special_nat
nat (inside) 2 access-list test_nat
Вуаля. компьютеры продолжают ходить в сеть с обычным адресом, но при переходе на ip 77.88.21.11 у двух компьютеров подменяется внешний адрес. Меняя ацесс лист можно быстро добавлять и удалять пользователей из этого правила.

Все довольны
Автор: на
Ярлыки:
Действия: 

0 коммент.:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)