• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Lỗi trên Cisco PIX 535

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Lỗi trên Cisco PIX 535

    Chào mọi người,

    Trên Cisco PIX 535, mình cấu hình các level trên từng interface như sau: outside 0, inside 100, DMZ 50. Theo mặc định thì từ Inside và DMZ đi ra Outside không cần phải cấu hình cho phép phải không? Mình gặp vấn đề này, các máy chủ trên vùng DMZ không đi Internet được nên mình mới cấu hình cho phép tất cả từ DMZ ra ngoài Outside, nhưng sau khi lưu và làm mới thì mình lại thấy câu lệnh đó đổi lại là cho phép tất cả từ DMZ đi vào Inside. Nếu bỏ đi thì máy chủ tại DMZ không đi Internet được, mọi người vui lòng cho hỏi phải sữa lỗi như thế nào vậy? Cám ơ nhiều nhiều lắm.
    Tags: None
  • #2
    chào bạn!!!
    cú pháp : static (dmz,outside) 203.1.1.9 172.16.1.10 netmask 255.255.255.255
    trong đó "203.1.1.9" là địa chỉ outside, "172.16.1.10" là địa chỉ server dmz. bạn thay thế các địa chỉ ip tương ứng với mạng của bạn
    cần cấu hình access-list áp dụng lên outside chiều in nếu bạn mún server dmz có thể ra internet
    VD: access-list dmz-outside permit tcp any host 203.1.1.9 eq telnet
    access-group dmz-outside in interface outside
    Last edited by nguyenquocle; 01-08-2008, 03:32 PM.
    Nguyễn Quốc Lễ, CCNP CCSP
    Email: nguyenquocle@wimaxpro.org

    Viet Professionals Co. Ltd. VnPro ®
    ---------------------------------------
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel: (08) 35124257
    Fax: (08) 5124314
    Support Forum : http://www. vnpro.org
    Live Chat http://vnpro.org/forum/image.php?u=2...ine=1233770177 : http://www.vnpro.vn/support
    Blog VnPro : http://www.vnpro.org/blog
    Cộng Đồng Mạng Không Dây Việt Nam

    Comment

    • #3
      Chào bạn,

      Cấu hình của mình như sau:

      static (inside,outside) tcp 203.99.260.23 23 10.1.10.2 23 netmask 255.255.255.255
      static (DMZ,outside) tcp 203.99.260.23 21 172.16.10.2 21 netmask 255.255.255.255

      access-list outside_in extended permit tcp any host 203.99.260.23 eq 23
      access-list outside_in extended permit tcp any host 203.99.260.23 eq 21

      access-group outside_in in interface outside

      Khi như vậy thì máy chủ ở vùng DMZ không đi Net được, mình phải cho phép vùng DMZ vào Inside thi máy chủ o vùng DMZ mới đi được. Các bạn giúp đỡ dùm nhé.

      Comment

      • #4
        chào bạn!!trường hợp bạn đang sử dụng là port redirection, mình đang thấy rằng bạn cấu hình mapping giữa dmz và outside chỉ dùng port 21 trên cả source và destination cho phép user nằm phía vùng outside tạo connection đến dmz thông wa port 21 của địa chỉ 203.9.260.23 . nên server ko thể đi net đc,mà bạn mún đi net để làm gì?
        Nguyễn Quốc Lễ, CCNP CCSP
        Email: nguyenquocle@wimaxpro.org

        Viet Professionals Co. Ltd. VnPro ®
        ---------------------------------------
        149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
        Tel: (08) 35124257
        Fax: (08) 5124314
        Support Forum : http://www. vnpro.org
        Live Chat http://vnpro.org/forum/image.php?u=2...ine=1233770177 : http://www.vnpro.vn/support
        Blog VnPro : http://www.vnpro.org/blog
        Cộng Đồng Mạng Không Dây Việt Nam

        Comment

        • #5
          vì port source là random nên với cấu hình như trên bạn mún server trong dmz ra được net thì phải cấu hình thêm
          asa(config)#nat (dmz) 1 0.0.0.0 0.0.0.0
          asa(config)#global (outside) 1 203.9.260.23
          Nguyễn Quốc Lễ, CCNP CCSP
          Email: nguyenquocle@wimaxpro.org

          Viet Professionals Co. Ltd. VnPro ®
          ---------------------------------------
          149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
          Tel: (08) 35124257
          Fax: (08) 5124314
          Support Forum : http://www. vnpro.org
          Live Chat http://vnpro.org/forum/image.php?u=2...ine=1233770177 : http://www.vnpro.vn/support
          Blog VnPro : http://www.vnpro.org/blog
          Cộng Đồng Mạng Không Dây Việt Nam

          Comment

          • #6
            Chào bạn,

            Mục đích của mình như sau:

            1. Cả 2 máy chủ 10.1.10.2 (Inside) và 172.16.10.2 (DMZ) đều được NAT ra Internet với địa chỉ 203.99.260.23
            2. Khi bên ngoài kết nối vào địa chỉ 203.99.260.23 cổng 21 thì sẽ được chuyển tới máy chủ 172.16.10.2, còn nếu kết nối tới địa chỉ 203.99.260.23 cổng 23 thì sẽ chuyển tới máy chủ 10.1.10.2.

            Và đây là cấu hình của mình đây:

            static (inside,outside) tcp 203.99.260.23 23 10.1.10.2 23 netmask 255.255.255.255
            static (DMZ,outside) tcp 203.99.260.23 21 172.16.10.2 21 netmask 255.255.255.255

            access-list outside_in extended permit tcp any host 203.99.260.23 eq 23
            access-list outside_in extended permit tcp any host 203.99.260.23 eq 21

            access-group outside_in in interface outside

            nat (dmz) 1 172.16.10.2
            nat (inside) 1 10.1.10.2
            global (outside) 1 203.99.260.23

            Như đã nói, máy chủ 172.16.10.2 không đi Internet được, mình phải cấu hình cho phép tòan bộ vùng DMZ qua vùng Outside, nhưng khi làm mới thì lại thấy đổi thành cho phép tòan vùng DMZ vào vùng Inside.

            Cám ơn bạn đã giúp đỡ nhiều

            Comment

            Previous template Next
            Working...
            X