Cisco PIX 515E

0

0

В локальной сети несколько серверов, представляющих сервисы наружу (DNAT).
У серверов уникальная комбинация ip/порт.
Вся сеть имеет один реальный ip-адрес (шлюз).
Все это дело крутится на Linux.

Можно ли заменить шлюз на "Cisco PIX 515E",
так как он сертифицированный и обклеен печатями :)

Ссылка

←	Два канала OpenVPN-сервер

apache 2.2 mod_cache

→

Можно.

Deleted
(11.03.08 18:30:46 MSK)

Ответ на: комментарий от Deleted 11.03.08 18:30:46 MSK

Только ни подсчёта трафика, ни нормального мониторинга ты там не увидишь.

Deleted
(11.03.08 18:31:15 MSK)

Ответ на: комментарий от Deleted 11.03.08 18:31:15 MSK

> Только ни подсчёта трафика, ни нормального мониторинга ты там не увидишь.

tcp и udp сессии pix умеет складывать в радиус.
так что смотря что считать нормальным подсчетом.

chocholl ★★
(11.03.08 20:53:30 MSK)

Ссылка

Ответ на: комментарий от Deleted 11.03.08 18:30:46 MSK

Специалист из фирмы, где купили Cisco, сказал что
нужно столько реальных ip-адресов сколько серверов смотрят наружу.

По его подсчетам нужно 5 реальных адресов.
Так ли это?

WinLin ★
(12.03.08 08:25:35 MSK) автор топика

Ответ на: комментарий от WinLin 12.03.08 08:25:35 MSK

Было бы интересно, так, чисто поржать, попросить специалиста открыть в мир скажем штук 400 виртуальных машинок :)
Перед тем как закупать кучу айпишнегов, нада убедится - а не будет ли простого dnat достаточно...

cyclope ★
(12.03.08 08:32:08 MSK)

Ответ на: комментарий от cyclope 12.03.08 08:32:08 MSK

Со слов специалиста:
ip-локальный/порт сделать DNAT может только Linux/BSD
или Cisco ASA стоимостью 22000$.

Придется подключить PIX в сеть (лампочками моргать) :)))

Где прочитать что PIX может DNAT ip/порт?

WinLin ★
(12.03.08 09:25:08 MSK) автор топика

Ответ на: комментарий от WinLin 12.03.08 09:25:08 MSK

> Где прочитать что PIX может DNAT ip/порт?

блин, не поверишь... :)
http://cisco.com/en/US/docs/security/asa/asa70/configuration/guide/cfgnat.html

chocholl ★★
(12.03.08 19:51:38 MSK)

Ответ на: комментарий от chocholl 12.03.08 19:51:38 MSK

http://cisco.com/en/US/docs/security/asa/asa70/configuration/guide/cfgnat.html 
------------------------------------^^^^^^^^^^--------------------------

а у чувака не asa

anonymous
(12.03.08 23:31:12 MSK)

Ответ на: комментарий от anonymous 12.03.08 23:31:12 MSK

там один хер. главное чтоб версия софта совпадала.

chocholl ★★
(12.03.08 23:49:53 MSK)

Ссылка

Ответ на: комментарий от WinLin 12.03.08 08:25:35 MSK

> Специалист из фирмы, где купили Cisco, сказал что нужно столько реальных ip-адресов сколько серверов смотрят наружу.

Специалиста срочно зачморить :)

static (insideif,outsideif) tcp ext_ip port1 int_ip1 port1 netmask 255.255.255.255
static (insideif,outsideif) tcp ext_ip port2 int_ip2 port2 netmask 255.255.255.255
static (insideif,outsideif) tcp ext_ip port3 int_ip3 port3 netmask 255.255.255.255
static (insideif,outsideif) tcp ext_ip port4 int_ip4 port4 netmask 255.255.255.255
static (insideif,outsideif) tcp ext_ip port5 int_ip5 port5 netmask 255.255.255.255
access-list acl_name extended permit tcp any host ext_ip eq port1
access-list acl_name extended permit tcp any host ext_ip eq port2
access-list acl_name extended permit tcp any host ext_ip eq port3
access-list acl_name extended permit tcp any host ext_ip eq port4
access-list acl_name extended permit tcp any host ext_ip eq port5
и т.д.

На самом деле, в пиксах есть довольно подробный интерфейс на жабке.