Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Config PIX525, Help me!!!

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Config PIX525, Help me!!!

    Mình đang cấu hình con PIX525 chạy IOS ver7.2(2). Trên đó đã cấu hình 3 vùng gồm Inside, Outside và DMZ. Trong DMZ có đặt các máy chủ Web và Mail. Cấu hình nat inside để các host trong vùng inside ra được Internet qua 01 địa chỉ Public trên outside, static nat giữa các địa chị IP private của các máy chủ và các IP public tương ứng của chúng.
    Hiện tại các host inside ra Internet bình thường, các máy ngoài Internet cũng mở website và sử dụng mail bình thường nhưng các máy inside không mở được website cũng như webmail nghĩa là các host inside đi ra được Internet nhưng không vào tiếp được vùng DMZ (theo mình hiểu là như vậy)
    Mọi người ai biết và ai đã có kinh nghiệm làm rồi thì giúp mình với.
    Thanks before.

  • #2
    chao ban

    de cho pc trong vung inside truy cap vao vung dmz thi ban phai nat tu vung inside sang vung dmz vi du nhu sau:
    inside: 10.0.0.0/24
    dmz: 172.16.0.20-254/24
    global: 192.168.0.20-254
    nat tu inside ra outside: nat (inside) 1 10.0.0.0 255.255.255.0
    global(outside) 1 192.168.0.20-192.168.0.253 netmask 255.255.255.0
    nat tu inside vao dmz: global(dmz) 1 172.16.0.20-172.16.0.254 netmask 255.255.255.0

    chuc ban thanh cong

    Comment


    • #3
      Hi bon!
      Mình đã thử theo cách của bạn rồi nhưng khi đó thì các máy inside mở được web bằng cách gõ IP private của webserver vào trường address của trình duyệt (nghĩa là nat trực tiếp từ inside sang dmz) chứ ko duyệt được web bằng cách gõ tên miền hay IP public của webserver vào trường address của trình duyệt. Cái mình cần là phải duyệt được web bằng cách gõ tên miền hay địa chỉ IP public (bản chất là 1 nhờ DNS) cho dù người sử dụng ngồi ở mạng ngoài (mở web bằng đường xDSL tại nhà) hay ngồi ở mạng trong (PC ở Office).
      Anh Minh và mọi người giúp mình với

      Comment


      • #4
        File cấu hình

        Mình gửi thêm file cấu hình của con PIX
        PIX525# sh run
        : Saved
        :
        PIX Version 7.2(2)
        !
        hostname PIX525
        enable password 0fvjSD6HX0HHNxzB level 10 encrypted
        enable password 5KL6djY5JJBSVnvg encrypted
        names
        dns-guard
        !
        interface Ethernet0
        description Connect to Outside
        speed 100
        duplex full
        nameif outside
        security-level 0
        ip address 222.252.18.10 255.255.255.252
        !
        interface Ethernet1
        description Connect to Inside
        speed 100
        duplex full
        nameif inside
        security-level 100
        ip address 10.1.1.1 255.255.255.0
        !
        interface Ethernet2
        description DMZ
        speed 100
        duplex full
        nameif DMZ
        security-level 50
        ip address 10.1.2.1 255.255.255.0
        !
        interface Ethernet3
        shutdown
        nameif intf3
        security-level 6
        no ip address
        !
        interface Ethernet4
        shutdown
        nameif intf4
        security-level 8
        no ip address
        !
        interface Ethernet5
        shutdown
        nameif intf5
        security-level 10
        no ip address
        !
        passwd kHGeScUR7M3V3SSB encrypted
        boot system flash:/image.bin
        ftp mode passive
        same-security-traffic permit inter-interface
        access-list inside_int extended permit ip 10.1.1.0 255.255.255.0 any
        access-list outside_int extended permit icmp any any
        access-list outside_int extended permit tcp any host 222.252.1.10 eq smtp
        access-list outside_int extended permit tcp any host 222.252.1.10 eq pop3
        access-list outside_int extended permit tcp any host 222.252.1.10 eq imap4
        access-list outside_int extended permit tcp any host 222.252.1.10 eq www
        access-list dmz_int extended permit tcp host 10.1.2.2 eq smtp any
        access-list dmz_int extended permit tcp host 10.1.2.2 eq pop3 any
        access-list dmz_int extended permit tcp host 10.1.2.2 eq imap4 any
        access-list dmz_int extended permit tcp host 10.1.2.2 eq www any
        access-list dmz_int extended permit icmp any any
        pager lines 24
        mtu outside 1500
        mtu inside 1500
        mtu DMZ 1500
        mtu intf3 1500
        mtu intf4 1500
        mtu intf5 1500
        no failover
        icmp unreachable rate-limit 1 burst-size 1
        asdm history enable
        arp timeout 14400
        nat-control
        global (outside) 1 interface
        global (DMZ) 1 interface
        nat (inside) 1 access-list inside_int
        static (DMZ,outside) 222.252.1.10 10.1.2.2 netmask 255.255.255.255
        access-group outside_in in interface outside
        access-group inside_int in interface inside
        access-group dmz_int in interface DMZ
        route outside 0.0.0.0 0.0.0.0 222.252.18.9 1
        timeout xlate 3:00:00
        timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
        timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
        timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
        timeout uauth 0:05:00 absolute
        aaa-server TACACS+ protocol tacacs+
        aaa-server RADIUS protocol radius
        username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15
        http server enable
        snmp-server host inside 10.1.1.10 community cisco version 2c
        no snmp-server locatio
        snmp-server community cisco
        snmp-server enable traps snmp authentication linkup linkdown coldstart
        snmp-server enable traps syslog
        snmp-server enable traps ipsec start stop
        snmp-server enable traps entity config-change fru-insert fru-remove
        snmp-server enable traps remote-access session-threshold-exceeded
        no sysopt connection permit-vpn
        telnet 10.1.1.10 255.255.255.255 inside
        telnet timeout 5
        ssh timeout 5
        ssh version 1
        console timeout 0
        !
        class-map inspection_default
        match default-inspection-traffic
        !
        !
        policy-map type inspect dns migrated_dns_map_1
        parameters
        message-length maximum 512
        policy-map global_policy
        class inspection_default
        inspect dns migrated_dns_map_1
        inspect ftp
        inspect h323 h225
        inspect h323 ras
        inspect http
        inspect netbios
        inspect rsh
        inspect rtsp
        inspect skinny
        inspect sqlnet
        inspect sunrpc
        inspect tftp
        inspect sip
        inspect xdmcp
        inspect esmtp
        !
        service-policy global_policy global
        privilege cmd level 10 mode exec command show
        privilege cmd level 10 mode exec command copy
        prompt hostname context
        Cryptochecksum:e174f5b445f1f86513630065738db18a
        : end
        Last edited by LOOP; 22-11-2008, 09:49 AM.

        Comment


        • #5
          Theo mình lỗi này là do DNS resolving thôi.

          Server của bạn có 2 interface, một là private IP nằm ở DMZ, một là public IP, cho nên khi host request DNS, sẽ nhận được reply là public IP của server.

          Server: 222.252.1.10
          10.1.2.2

          Host nằm trong inside network được permission để access webserver, do đó khi dùng địa chỉ private IP của server, PIX sẽ route được request đến server.

          Tuy vậy khi host dùng domain name, sẽ gửi request đến DNS server nằm ở bên ngoài. DNS không biết địa chỉ private của Server, vì vậy sẽ gửi reply lại với địa chỉ public của Server. Khi host connects đến địa chỉ public của server, sẽ bị PIX chặn lại bởi không có access-rules từ public IP của server đến host. Ngoài ra như thế này thì traffic sẽ đi hơi lằng nhằng, vì phải chạy ra PIX outside interface rồi NAT lại vào DMZ interface.

          THeo mình nên giải quyết như thế này là nhanh gọn nhất.

          - Config DNS server service trên Server, để server có khả năng resolve DNS request, tức là tạo một cái private DNS server cho mạng cty.
          - Trên server, config DNS record đến địa chỉ web-mail của công ty với private IP. DNS A record: mail.congtyA.com 10.1.2.2
          - Trên DHCP, config giá trị DNS server cho host với địa chỉ private của Server (10.1.2.2). Host sẽ gửi DNS request đến server.
          - Host sẽ send DNS request đến server ở DMZ zone (connection được permit = default rules của PIX).
          - Server sẽ reply lại request đến mail.congtyA.com với địa chỉ IP 10.1.2.2

          - Host connect đến server với địa chỉ private IP của server để dùng mail. Traffic sẽ đi thẳng từ Inside sang DMZ mà không phải vòng qua outside.

          Với người dùng ở bên ngoài, vì bạn đã đăng kí domain name mail.congtyA.com với địa chỉ public 222.252.1.10, tất cả các DNS server sẽ dùng địa chỉ này chỉ đến webserver công ty bạn.
          Ngoài ra cách này còn giúp host đi ra web nhanh hơn vì không mất thời gian đợi DNS reply từ DNS server nằm ngoài. Private DNS server sẽ cache lại DNS record, và gửi cho host mỗi khi có request.

          Check cái link sau, nó có thảo luận đến trường hợp tương tự và cách giải quyết.

          Internal DNS server
          ----------------------
          Nguyễn Duy Nghĩa
          Net Operator @ AMS-IX
          http://www.ams-ix.net

          Comment


          • #6
            Nhưng vấn đề ở đây là khi các host inside mở webmail bằng địa chỉ 222.252.1.10 cũng không được mà. Vậy nên có lẽ chưa liên quan đến DNS. ??? Mọi người thấy sao?
            Giải pháp mà NDNghia gioi thieu cũng hay nhưng liệu khi enable service DNS trên mail Server để Server làm chức năng DNS Proxy cho các host inside khi truy cập các website ngoài có đảm bảo tính security không nhi?

            Comment


            • #7
              Ko ai có ý kiến gì à? Chán nhỉ

              Comment


              • #8
                Hello

                Mấy ngày vừa rồi ngồi đọc lại về phần NAT của PIX, mới tìm ra được giải pháp cho vụ này.
                PIX nó có thể rewrite lại được DNS record để chỉ host đến địa chỉ private của server. Khi Host request DNS đến địa chỉ mail.congtyA.com sẽ nhận được reply là địa chỉ public từ DNS server. Nhưng khi đến PIX thì do câu lệnh sau, địa chỉ public đó sẽ bị rewrite lại thành địa chỉ private.

                Config:

                static (inside,outside) 222.252.1.10 10.1.2.2 netmask 255.255.255.255 dns

                Tham khảo thêm về DNS & NAT trên PIX
                DNS & NAT on PIX
                ----------------------
                Nguyễn Duy Nghĩa
                Net Operator @ AMS-IX
                http://www.ams-ix.net

                Comment


                • #9
                  Originally posted by NDNghia View Post
                  Hello

                  Mấy ngày vừa rồi ngồi đọc lại về phần NAT của PIX, mới tìm ra được giải pháp cho vụ này.
                  PIX nó có thể rewrite lại được DNS record để chỉ host đến địa chỉ private của server. Khi Host request DNS đến địa chỉ mail.congtyA.com sẽ nhận được reply là địa chỉ public từ DNS server. Nhưng khi đến PIX thì do câu lệnh sau, địa chỉ public đó sẽ bị rewrite lại thành địa chỉ private.

                  Config:

                  static (inside,outside) 222.252.1.10 10.1.2.2 netmask 255.255.255.255 dns

                  Tham khảo thêm về DNS & NAT trên PIX
                  DNS & NAT on PIX
                  Thanks bạn Nghĩa!
                  Mình đã tham khảo link bạn gửi và thử nat static cho dns nhưng vấn đề vẫn chưa giải quyết được
                  Theo mình nghĩ ở đây có lẽ ko phải nằm ở DNS service vì mở trực tiếp bằng IP public cũng không được mà. Ngoài ra, user ở ngoài mạng (mình về nhà sử dụng đường ADSL) thì mở bằng IP public hay tên miền đều OK cả.
                  Còn ai có ý kiến gì nữa ko nhỉ?

                  Comment


                  • #10
                    Originally posted by LOOP View Post
                    Hi bon!
                    Mình đã thử theo cách của bạn rồi nhưng khi đó thì các máy inside mở được web bằng cách gõ IP private của webserver vào trường address của trình duyệt (nghĩa là nat trực tiếp từ inside sang dmz) chứ ko duyệt được web bằng cách gõ tên miền hay IP public của webserver vào trường address của trình duyệt. Cái mình cần là phải duyệt được web bằng cách gõ tên miền hay địa chỉ IP public (bản chất là 1 nhờ DNS) cho dù người sử dụng ngồi ở mạng ngoài (mở web bằng đường xDSL tại nhà) hay ngồi ở mạng trong (PC ở Office).
                    Anh Minh và mọi người giúp mình với
                    Các anh ơi. Gần 10 ngày nay em bị lỗi này mà vẫn chưa tìm ra câu trả lời. Anh nào tư vấn giúp em với ạ. Em xài PIX 515e.

                    Comment


                    • #11
                      mình cũng đang làm con này,khi mình confgig như bạn Loop thì từ ngoài truy cập dmz vẫn k dc! Có phải là chi cần config :
                      + access-list outside_int extended permit tcp any host 222.252.1.10 eq www
                      +
                      static (DMZ,outside) 222.252.1.10 10.1.2.2 netmask 255.255.255.255
                      Thank!

                      Comment

                      Working...
                      X