Configuration de nat sous pix 515

Fermé
samira - 18 oct. 2010 à 18:28
 samira - 25 oct. 2010 à 12:14
Bonjour,

je dois configurer un PIX 515 de tel sorte que le traffic provenant de l'extérieur ayant comme destination l'adresse ip 192.168.100.1 et le port http se redirige vers l'adresse ip 172.22.10.15 sur le même port , j'ai utilisé la commande suivante
static (inside,outside ) tcp 192.168.100.1 http 172.22.10.15 http ça marche mais le problème est lorsque j'utilise l'adresse ip 172.22.10.15 sur le port http elle ne marche pas.

merci d'avance

5 réponses

brupala Messages postés 110590 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 3 décembre 2024 13 841
Modifié par brupala le 18/10/2010 à 20:02
Salut,
lorsque j'utilise l'adresse ip 172.22.10.15 sur le port http elle ne marche pas.
tu veux dire quand tu fais du http en sortie ?
as tu configuré le nat dynamique de base :
nat (inside) 1 .....
global (outside) 1 interface ....
et ... Voili Voilou Voila !
0
merci pour la réponse
lorsque j'utilise l'adresse ip 172.22.10.15 sur le port http elle ne marche pas.
je veux dire que lorsque j'utilise l'adresse http://172.22.10.15 depuis l'outside la page web ne s'affiche pas.
j'ai pas configuré le nat dynamique
merci
0
brupala Messages postés 110590 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 3 décembre 2024 13 841
Modifié par brupala le 19/10/2010 à 11:07
Alors pourquoi écris tu cela :
j'ai utilisé la commande suivante
static (inside,outside ) tcp 192.168.100.1 http 172.22.10.15 http ça marche

Quelle est l'adresse ip de l'interface outside en fait ? et quelle est l'adresse réelle du serveur ?
Dans la commande que tu as écrite ,
l'adresse ip du serveur est 172.22.10.15 et l'adresse ip de l'outside est 192.168.100.1
Alors pourquoi essaie tu de te connecter sur 172.22.10.15 depuis l'extérieur ?
depuis l'extérieur, tu dois te connecter sur l'adresse outside, c'est tout.
Lire:
http://www.routeralley.com/ra/docs/pix_nat.pdf
0
merci une autre fois pour la réponse

le problématique est: j'ai changé l'adressage de mon zone DMZ , l'ancienne adresse de serveur web est de 192.168.100.1 et la nouvelle adresse est 172.22.10.15. Je veux que lorsque quelqu'un des sites distants (WAN) veut accéder au serveur web et puisque il connait que l'ancienne adresse il va redireger vers la nouvelle adresse (172.22.10.15) lorsque j'utilise la commande static (inside,outside ) tcp 192.168.100.1 http 172.22.10.15 http ça marche .
mais lorsque j'ajoute une nouvelle machine dans un site distant et je configure internet explorer d'accéder directement vers la nouvelle adresse ça ne marche pas .
j'espère que tu comprend le problème
merci
0
brupala Messages postés 110590 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 3 décembre 2024 13 841
19 oct. 2010 à 13:40
je commence à voir,
mais le serveur web est dans la dmz ou bien dans inside ?
en fait,
il n' ya avait pas de nat avant et c'est un intranet, c'est ça ?
en fait ce n'est pas du nat que tu dois faire, mais aller modifier le dns avec la nouvelle adresse du serveur.
Je suppose que le réseau 192.168.100.0 n'existe plus sur ton firewall, Sauf routage statique particulier, les paquets vers 192.168.100.1 ne devraient plus être routés vers ton pix, mais peut-etre que je me trompe.
si les paquets à cette destination sont bien routés vers ton pix, tu devrais ajouter la ligne:
global (outside) 1 192.168.100.1 netmask 255.255.255.255
afin de lui indiquer que tu convertis bien cette adresse bien qu' elle n'existe pas sur le firewall.
0
merci brupala
le serveur web est dans l'inside et il n'avait pas de nat avant.
les paquets vers 192.168.100.1 sont routés vers le pix et au niveau de pix que je dois rediriger le traffic vers la nouvelle adresse
le réseau 192.168.100.0 existe encore donc pas nécessaire global (outside) 1 192.168.100.1 netmask 255.255.255.255
merci d'avance
0
brupala Messages postés 110590 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 3 décembre 2024 13 841
19 oct. 2010 à 15:32
192.168.100.0/24 est où? sur l'inside ?
inside a donc deux adresses ip ?
une en 192.168.0.X et une en 172.22.10.y ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
bonjour brupala
pardon pour le retard, j'ai été occupé avec un autre problème, merci si vous pouvez m'aider pour le nouveau prblème:
je veux rediriger le traffic ayant comme adresse destination 41.224.36.20 (adresse de l'interface outside) sur le port 8080 vers l'adresse 172.20.20.25 (adresse d'un serveur situé à l'inside) c'est à dire
static (inside,outside) tcp 41.224.36.20 8080 172.20.20.25 8080
sachant que j'ai les règles nat suivants:
access-list nonat extended permit ip object-group Ins_All object-group DMZ
object-group Ins_All : l'ensemble des machines situées à l'inside
access-list withnat extended permit ip object-group Ins_Al any
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 access-list withnat

merci pour l'aide
0