Jannemann Geschrieben 12. Februar 2007 Teilen Geschrieben 12. Februar 2007 Hi, folgendes Szenario: Cisco PIX Appliance: ethernet0 outside security0 ethernet1 inside security100 outside if: öffentliche IP inside if: öffentliche IP = GW fuer Server hinter der PIX Vom inside if gehts auf Layer2 Basis an nen Switch und an dem klemmen X Server mit öffentlichen IPs. Nun sollen Anfragen die an einer öffentlichen Server IP auf Port 80 ankommen an einen anderen Server der mit am Switch hängt weitergeleitet werden auf Port 8080. (Windows Kisten, also fällt iptables weg Würde folgendes reichen? static (inside,outside) tcp IP.IP.IP.IP www IP.IP.IP.IP 8080 netmask 255.255.255.255 0 0 access-list outside-inbound permit tcp any host IP.IP.IP.IP eq www Auf einer ASA hab ich derartiges mal kurz testen wollen und da gabs mit dem Rückweg der Pakete Probleme, da die FW meckerte a la: "Mit dem Paket kann ich so nichts anfangen, da es mit der SRC/DST nicht auf meinem outside if angekommen ist, also droppe ich es mal" Grüsse, Jannemann Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Jannemann Geschrieben 12. Februar 2007 Autor Teilen Geschrieben 12. Februar 2007 Würde folgendes reichen? static (inside,outside) tcp IP.IP.IP.IP www IP.IP.IP.IP 8080 netmask 255.255.255.255 0 0 It works: Result of the command: "packet-tracer input outside tcp IP.IP.IP.117 4711 IP.IP.IP.146 80" Phase: 1 Type: FLOW-LOOKUP Subtype: Result: ALLOW Config: Additional Information: Found no matching flow, creating a new flow Phase: 2 Type: UN-NAT Subtype: static Result: ALLOW Config: static (inside,outside) tcp IP.IP.IP.146 www IP.IP.IP.147 8080 netmask 255.255.255.255 match tcp inside host IP.IP.IP.147 eq 8080 outside any static translation to IP.IP.IP.146/80 translate_hits = 0, untranslate_hits = 4 Additional Information: NAT divert to egress interface inside Untranslate IP.IP.IP.146/80 to IP.IP.IP.147/8080 using netmask 255.255.255.255 Phase: 3 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group outside_access_in in interface outside access-list outside_access_in extended permit ip any any Additional Information: Phase: 4 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 5 Type: NAT Subtype: rpf-check Result: ALLOW Config: static (inside,outside) tcp IP.IP.IP.146 www IP.IP.IP.147 8080 netmask 255.255.255.255 match tcp inside host IP.IP.IP.147 eq 8080 outside any static translation to IP.IP.IP.146/80 translate_hits = 0, untranslate_hits = 4 Additional Information: Phase: 6 Type: NAT Subtype: host-limits Result: ALLOW Config: static (inside,outside) tcp IP.IP.IP.146 www IP.IP.IP.147 8080 netmask 255.255.255.255 match tcp inside host IP.IP.IP.147 eq 8080 outside any static translation to IP.IP.IP.146/80 translate_hits = 0, untranslate_hits = 4 Additional Information: Phase: 7 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 8 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 5924, packet dispatched to next module Result: input-interface: outside input-status: up input-line-status: up output-interface: inside output-status: up output-line-status: up Action: allow Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.