18. maj 2006 - 10:35Der er
4 kommentarer og 1 løsning
Pix route
Jeg er i gang med at konfigurere en PIX 515E, med et ekstra DMZ interface.
Vores setup, ser ud som følgende:
WAN Security0 -> ADSL LAN Security100 -> 192.168.x.0/24 DMZ Security50 -> Offenlig IP, med adgang over i et andet netværk.
DMZ netværket har sin egen adgang ud til internettet, via en anden router. Så det vil sige at vores PIX 515E skal snakke med den anden router, for at kunne tilgå serverne.
Problemet er at brugerne på lan interfacet, skal snakke ud igennem DMZ interfacet, når de skal tilgå serverne, i stedet for at kalde dem via WAN interfacet. Serverne skal kunne tilgåes via deres globale ipadresse.
Hmmmm. Jeg kan ikke helt gennemskue sætoppet og dit spørgsmål, men!!
Normalt kommunikerer man ind og ud af DMZ via firewallen og ikke giver mukighed for extra indgange ind til dmz der ikke filtreres.
Hvis du vil have en router på dit DMZ, så vil jeg foreslå at det er en VPN router, hvorigennem man kun kan kommunikerer med det andet net og at su sætter systemet op så man ikke kan kommunikerer fra DMZ ind i dit net.`VPN routeren bør så sættes op, så den kun tillader VPN trafik og kun mellem de to nets faste IP adresser og ikke andet.
I dette tilfælde kan man betrakte mit DMZ interface som en ekstra wan side. Det der sådan set bare skal laves er en nat på DMZ interfacet, så de lokale ip-adresser kan se nettet på dmz interfacet.
Det er bare hvordan man isolere min nat til nogle bestemte ip adresser, så pix'en ved at når den skal spørge efter et bestemt subnet, så ved den at den skal smide trafikken ud igennem dmz interfacet, i stedet for outside interfacet.
Jeg laver lige følgende antagelser: Serverne, der skal nås er i rangen 1.0.0.0/8. Mellem pix og router på DMZ er nettet 10.0.0.0/30 med pix = .1 og router = .2 Du kan route DMZ nettet helt hen til serverne og har ikke noget imod en PAT, så alle brugerne kommer fra samme adresse (pix'ens dmz ben):
Ok, jeg fandt problemet, men desværre ikke en løsning på det. Hvis jeg vælger at ligge min default route på DMZ interfacet, kan jeg fint få fat på serverne, så frem jeg laver den nat løsning beskrevet af svindler.
Men sætter jeg min default route til ADSL forbindelsen, og laver en EKSTRA route til miT server netværk, kan jeg ikke komme igennem.
Eks. på noget der virker. med udgangspunkt i løsningen fra "svindler" route (dmz1) 0.0.0.0 0.0.0.0 10.0.0.2 1
Eks. på noget som ikke virker. route (outside) 0.0.0.0 0.0.0.0 ip.på.ADSL 1 route (dmz1) 1.0.0.0 255.0.0.0 10.0.0.2 1
Du skal have et nat/global sæt for hver vej, du skal gå, f.eks: nat (LAN) 1 0.0.0.0 0.0.0.0 0 0 nat (LAN) 2 0.0.0.0 0.0.0.0 0 0 global (outside) 1 din.ip.på.ADSL global (dmz1) 2 10.0.0.1 og så den routning, du selv er kommet frem til: route (outside) 0.0.0.0 0.0.0.0 ip.på.ADSL 1 route (dmz1) 1.0.0.0 255.0.0.0 10.0.0.2 1
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.