Cisco PIX og DMZ'er
Hej!Jeg sidder og leger lidt med en Cisco PIX 515'er og nogle DMZ'er.
Er lidt i tvivl om mine NAT-statements giver mening, og om det er måden man normalt gør tingene på?
Jeg vil have 2 forskellige VPN-grupper, hvor den ene IP-klasse kun har adgang til DMZ'en. Mit væsentligste spørgsmål er derfor om det udelukkende er ved hjælp af NONAT-listerne jeg styrer hvilke IP-klasser som de må tilgå udefra? Skal jeg eventuelt droppe "sysopt connection permit-ipsec" og så definere hvilke klasser som jeg vil tillade ind på mit outside-interface?
*********************************************************
Info:
Inside 10.0.0.0 255.255.0.0
DMZ1 10.1.1.0 255.255.255.0
DMZ2 10.1.2.0 255.255.255.0
VPN-Pool1: 10.1.5.0 255.255.255.0 (Full access)
VPN-Pool2: 10.1.6.0 255.255.255.0 (DMZ access only)
*********************************************************
nameif ethernet0 outside security0
nameif ethernet1 dmz1 security10
nameif ethernet2 dmz2 security20
nameif ethernet3 inside security100
access-list nat_inside permit ip 10.0.0.0 255.255.0.0 10.1.1.0 255.255.255.0
access-list nat_inside permit ip 10.0.0.0 255.255.0.0 10.1.2.0 255.255.255.0
access-list nat_inside permit ip 10.0.0.0 255.255.0.0 10.1.5.0 255.255.255.0
access-list nat_dmz1 permit ip 10.1.1.0 255.255.255.0 10.1.5.0 255.255.255.0
access-list nat_dmz1 permit ip 10.1.1.0 255.255.255.0 10.1.6.0 255.255.255.0
access-list nat_dmz2 permit ip 10.1.2.0 255.255.255.0 10.1.5.0 255.255.255.0
access-list nat_dmz2 permit ip 10.1.2.0 255.255.255.0 10.1.6.0 255.255.255.0
global (outside) 1 interface
nat (dmz1) 0 access-list nat_dmz1
nat (dmz1) 1 0.0.0.0 0.0.0.0 0 0
nat (dmz2) 0 access-list nat_dmz2
nat (dmz2) 1 0.0.0.0 0.0.0.0 0 0
nat (inside) 0 access-list nat_inside
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
ip local pool vpn-pool1 10.1.5.1-10.1.5.254
ip local pool vpn-pool2 10.1.6.1-10.1.6.254
(Det er selvfølgelig kun et udklip af den færdige konfiguration)
