Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Cisco Pix pozwolenie na dostęp

7 views
Skip to first unread message

ntst

unread,
Feb 16, 2006, 7:55:47 AM2/16/06
to

Witam,


Mam pytanie. Posiadam skonfigurowanego Pixa 506 z 3 vlanami.


vlan1 - inside secudity 100 192.168.1.1/24
vlan2 - inside1 security 80 192.168.2.1/24
vlan2 - inside2 security 70 192.168.3.1/24

Wszystkie vlany działają prawidłowo. Wszystkie sieci
mają dostęp do internetu za pomocą adresu IP interfejsu
outside.

Moje pytaniej jest następujące. Co powiniennem zrobić
aby zezwolić na pełen dostęp do hosta 192.168.1.2 z
vlanu2 i z vlanu3? Na hoście 192.168.1.2 mam postawiony
serwer www i smtp i chciałbym aby mogli z niego
korzystać osoby z vlanu2 i 3.


Dziękuje za wszelką pomoc.

Lepton 0

unread,
Feb 16, 2006, 1:55:03 PM2/16/06
to

poniewaz ruch miedzy interfejsem o nizym "poziomie bezpieczenstwa" a
interfejsem o wyzszym poziomie jest domyslnie blokowany, musisz strorzyc
access liste zezwalajaca na dany ruch i przypisac ja do interfejsu 'inside'

pozdrawiam

ntst

unread,
Feb 16, 2006, 5:35:29 PM2/16/06
to lep...@poczta.onet.pl
Lepton 0 napisał(a):


Dzięki za odpowiedz. Mam jednak pytanie. Na którejś ze stron
przedstawiających sposób konfiguracji Pixa wyczytałem, że aby
umożliwić na dostęp do hosta wewnątrz sieci INSIDE o security level
większej niż np sieć dmz2 należy zrobić:


static(inside,dmz02) 10.0.0.100 10.0.0.100 netmask 255.255.255.255

Czy taka komenda otworzy drogę do hosta 10.0.0.100 będącego w inside
z komputerów z innej sieci będących w dmz2? Czy w tym przypadku
także trzeba robić access-listy i przypisywać je do interfejsu
inside?


pozdrawiam

ntst

unread,
Feb 16, 2006, 5:35:44 PM2/16/06
to
Lepton 0 napisał(a):

Chomicki

unread,
Feb 17, 2006, 4:27:52 AM2/17/06
to
ntst napisał(a):

>
> Dzięki za odpowiedz. Mam jednak pytanie. Na którejś ze stron
> przedstawiających sposób konfiguracji Pixa wyczytałem, że aby
> umożliwić na dostęp do hosta wewnątrz sieci INSIDE o security level
> większej niż np sieć dmz2 należy zrobić:
>
> static(inside,dmz02) 10.0.0.100 10.0.0.100 netmask 255.255.255.255
>
> Czy taka komenda otworzy drogę do hosta 10.0.0.100 będącego w inside
> z komputerów z innej sieci będących w dmz2? Czy w tym przypadku
> także trzeba robić access-listy i przypisywać je do interfejsu
> inside?

Na PIXach generalnie wskazane jest tworzenie reguł translacji między
jakimikolwiek interfejsami między którymi chcesz puścić ruch.
Czyli żeby umożliwić hostom z jednego VLANu dostęp do hosta z innego musisz:
1. skonfigurować translację (Cisco zaleca dla ruchu z int. o wyższym
poziomie bezpieczeństwa do int. o niższym konfigurację dynamicznej
translacji, odwrotnie statyczną)
2. tak jak napisał Lepton określić jaki ruch chcesz przepuścić (tutaj
pamiętaj że ICMP w pix-ach musi być konfigurowane oddzielnie i jest
bezstanowe, czyli musisz explicite zezwolić na ruch w obie strony).

Pozdr

--
Piotr Chomczyk
"Chomicki"
piotrcho@NIE_DLA_SPAMU.wp.pl

0 new messages