11. oktober 2005 - 19:04Der er
5 kommentarer og 2 løsninger
problem med www igennem pix til server.
Jeg skal have ledt min udefra kommende www trafik igennem pix'en til en server(192.168.1.241)
Her er som det er nu. France-Firewall(config)# sh access-l access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 256) alert-interval 300 access-list Inside-out; 6 elements access-list Inside-out line 1 permit tcp any host 193.162.159.95 eq smtp (hitcnt=0) access-list Inside-out line 2 deny tcp any any eq smtp (hitcnt=0) access-list Inside-out line 3 deny tcp any any eq ftp (hitcnt=15) access-list Inside-out line 4 deny tcp any any eq telnet (hitcnt=0) access-list Inside-out line 5 deny tcp any any eq 69 (hitcnt=0) access-list Inside-out line 6 permit ip any any (hitcnt=6541) access-list Outside-In; 4 elements access-list Outside-In line 1 permit icmp any any echo-reply log 6 interval 300 (hitcnt=0) access-list Outside-In line 2 permit tcp any host web-server eq www log 7 interval 300 (hitcnt=0) access-list Outside-In line 3 remark skal slettes hos fv access-list Outside-In line 4 permit tcp any host web-server eq smtp log 6 interval 300 (hitcnt=0) access-list Outside-In line 5 remark skal slettes hos fv access-list Outside-In line 6 permit tcp any host web-server eq 3389 log 6 interval 300 (hitcnt=0) France-Firewall(config)#
og
France-Firewall(config)# sh stat static (inside,outside) web-server 192.168.1.1 netmask 255.255.255.255 0 0 France-Firewall(config)#
og sidst
France-Firewall(config)# sh name name 192.168.1.240 Server name 192.168.1.241 web-server France-Firewall(config)#
Jeg kan ikke finde ud af hvorfor det ikke virker.
Hvis det er kan jeg tømme access-list, static og names og så kan du bare komme med de linjer jeg skal skrive i CLI
Ps. firewallen skal når den er konfigureret flyttes til et andet sted, hvis det har nogen betydning.
Et lille tillægsspm. Hvis jeg tillader indgående trafik på port X og ikke laver nogen static, bliver trafikken så ledt ud til alle klienter på indersiden, eller hvordan.
Du har ingen hits på din access-list, hvilket tyder på at du har et routningsproblem fra internettet og ind til din Pix. Du skal derfor sikre dig at routeren på ydersiden af Pix'en har en route der fortæller at 192.168.1.241 er via Pix'ens ydersideadresse.
Derudover så er din static forkert. Den skal hedde:
Hvis altså man antager at du ikke skal lave NAT (hvilket du ikke snakker noget om).
Hvis ikke dette er svaret på dit spørgsmål, så bliver du nødt til at fortælle lidt mere om hvordan netværket ser ud på ydersiden.
Dit tillægsspørgsmål: Nej, så dropper Pix'en pakken og smider en fejlmeddelse i din log som fortæller dig at du ikke har nogen xlate for den pågældende trafik.
Jeg skal sådanset have ALT trafik ledt ind i serveren, da den virker som dhcp/router for lokalnettet ( Inet -> Yderside PIX Inderside -> Netkort1 SERVER Netkort2 -> LAN )
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.