A voir également:
- Configuration avancée Firewall Cisco PIX 501
- Que cachent les manchots pix ✓ - Forum Windows
- Cisco eap fast module - Forum Windows 8 / 8.1
- Le fichier à télécharger est la nouvelle note de service de votre entreprise. importez ce fichier dans le bon dossier sur l'espace pix cloud. donnez à ce fichier les mêmes droits d'accès que les autres notes de service. ✓ - Forum Windows
- Que représente cette icône pix - Forum Windows
- Mot de passe julia pix - Forum Windows
18 réponses
ianvs
Messages postés
539
Date d'inscription
mardi 26 juin 2007
Statut
Membre
Dernière intervention
29 avril 2009
209
13 nov. 2007 à 11:45
13 nov. 2007 à 11:45
Bonjour,
La syntaxe des translations est légèrement érronnée, de plus on ne peut faire un NAT "static" avec l'adresse du PIX sans préciser les ports (et donc faire du PAT) et en donnant l'IP, voici la bonne syntaxe pour ce que tu cherches :
#static (inside,outside) tcp interface smtp 192.168.1.2 smtp [ netmask 255.255.255.0 ] ! smtp = 25
#static (inside,outside) tcp interface pop3 192.168.1.2 pop3 [ netmask 255.255.255.0 ] ! pop3 = 110
#static (inside,outside) tcp interface https 192.168.1.2 https [ netmask 255.255.255.0 ] ! https = 443
#static (inside,outside) tcp interface 12584 192.168.1.3 12584 [ netmask 255.255.255.0 ]
Je suis surpris de l'adresse du client (une adresse privée ne peut circuler sur Internet), mais si c'est pour l'exemple et éviter de donner la vraie adresse publique tu as bien fait.
Reprenons donc ...
regrouper les services ... pourquoi pas ... en tout cas ça semble correcte sauf que tu mets deux fois SMTP
Pour l'access-list, tu dois indiquer l'adresse translatée de la machine cible et tu n'as pas préciser le port pour la connexion Base de donnée, je propose ceci :
#access-list external permit tcp any host 192.168.1.2 object-group webservices
#access-list external permit tcp host Y.Y.Y.Y host 192.168.1.3 eq 12584 ! port à vérifier
=> la dernière ligne (deny ip any any) est inutile cas ajoutée de façon implicite par le PIX
Tu mets un access-group "inside", attention à ne le faire que si une access-list est définie.
Voilà ... j'espère avoir été clair et avoir bien compris ton besoin.
La syntaxe des translations est légèrement érronnée, de plus on ne peut faire un NAT "static" avec l'adresse du PIX sans préciser les ports (et donc faire du PAT) et en donnant l'IP, voici la bonne syntaxe pour ce que tu cherches :
#static (inside,outside) tcp interface smtp 192.168.1.2 smtp [ netmask 255.255.255.0 ] ! smtp = 25
#static (inside,outside) tcp interface pop3 192.168.1.2 pop3 [ netmask 255.255.255.0 ] ! pop3 = 110
#static (inside,outside) tcp interface https 192.168.1.2 https [ netmask 255.255.255.0 ] ! https = 443
#static (inside,outside) tcp interface 12584 192.168.1.3 12584 [ netmask 255.255.255.0 ]
Je suis surpris de l'adresse du client (une adresse privée ne peut circuler sur Internet), mais si c'est pour l'exemple et éviter de donner la vraie adresse publique tu as bien fait.
Reprenons donc ...
regrouper les services ... pourquoi pas ... en tout cas ça semble correcte sauf que tu mets deux fois SMTP
Pour l'access-list, tu dois indiquer l'adresse translatée de la machine cible et tu n'as pas préciser le port pour la connexion Base de donnée, je propose ceci :
#access-list external permit tcp any host 192.168.1.2 object-group webservices
#access-list external permit tcp host Y.Y.Y.Y host 192.168.1.3 eq 12584 ! port à vérifier
=> la dernière ligne (deny ip any any) est inutile cas ajoutée de façon implicite par le PIX
Tu mets un access-group "inside", attention à ne le faire que si une access-list est définie.
Voilà ... j'espère avoir été clair et avoir bien compris ton besoin.