Сообщение прислал : V.Yurin on November 22, 2004 at 18:42:36:
In Reply to: nsg 800 & pix posted byKGB on November 22, 2004 at 18:22:10:
: необходимо осуществить связку NSG 800WL и PIX firewall, имея только 1 внешний ип адрес, который прописан на маршрутизаторе.
: схема такова
: сервер (10.10.10.11) --- (outside 10.10.10.10) PIX (inside 192.168.10.2) -- (192.168.10.1) NSG (внешний адрес)
: на маршрутизаторе подняты
: IP:1 - эзернет, локальный интерфейс, 192.168.10.1 NAT:NO
: идет в PIX
: IP:2 - внешний интерфейс со внешним ип уходит к прову NAT:YES
: S I DEFAULT IP:2
: естественно, ничего не работает, в чем и проблема.
-- почему "естественно"?
-- почему _ничего_ не работает?
-- ищите, что именно не работает - там и проблема.
Так работает?
сервер (10.10.10.11) --- (outside 10.10.10.10) PIX(внешний адрес)
А так работает?
сервер (192.168.10.2) -- (192.168.10.1) NSG (внешний адрес)
: можно ли осуществить такую схему ?
Можно.
: реализует ли NAT в данном маршрутизаторе трансляцию ип в ип ?
Реализует, и она у вас включена. строго говоря, это один из вариантов IP, а именно, IP masquerading. Все пакеты, которые NSG получает от PIX, уходят наружу с sourceIP=внешний_адрес_NSG. Все входящие пакеты передаются внутрь только в том случае, если они являются ответами на пакеты, посланные изнутри нашей сети.
Если же вам нужно, чтобы ваш сервер был виден клиентам из внешней сети, то для этого существует другой механизм NAT - виртуальные сервера. (И это есть свойство самой технологии NAT, а не устройства NSG.) Для каждого порта с внешней стороны (напр. 80) вы должны прописать, на какой IP-адрес и порт должны направляться пакеты в вашу внутреннюю сеть. (Никакой NAT-роутер этого априори знать не может.) См. п.4.4.3.
Ссылка : руководство пользователя, часть 4