The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Циска pix506E и NAT. Как отключить NAT?"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Циска pix506E и NAT. Как отключить NAT?"  
Сообщение от wanton email(ok) on 16-Апр-07, 15:03 
Имеется корп. сеть 10.10.0.0/16
pix поставил м\д корп.сетью 10.10.0.0/16 и своей сетью 10.10.10.0/24 в роли фаевола(отрубить ICMP, RIP, OSPF и прочую лабуду)
В данной топологии мне NAT не нужен. Все адреса фейковые , не интернетовские, "внутренние".
Соответственно, натить адреса не нужно!
no nat не прокатывает. Видимо, pixa зашита на предмета NAT`a?
Прочитал в мануле "Two Interfaces Without NAT or PAT"
ставлю
ip address outside 10.10.50.9 255.255.255.0 (воткнут в маршрутизатор у связистов с ip 10.10.50.1)
ip address inside 10.10.10.12 255.255.255.0 (моя сеть)
nat (inside) 0 10.10.50.9 255.255.255.0
route outside 0.0.0.0 0.0.0.0 10.10.50.1 1
ну, и, соответственные ACL`ы (для проверки - открыто все).
access-list outside_access_in permit ip any any
access-list inside_access_in permit ip any any
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
=======cut============
name 10.10.1.1 OUT_MAIL
name 10.10.10.2 IN_VIRT_NS
======end cut ========

в логах пишется

%PIX-3-305005: No translation group found for udp src outside:OUT_MAIL/53 dst inside:IN_VIRT_NS/53

???? UDP domain(53) открыто в ACL`ах????

Читаю в мануале :
Error Message %PIX-3-305005:
Explanation: A packet does not match any of the outbound nat rules.
Recommended Action: This message signals a configuration error. If dynamic NAT is desired for the
source host, ensure that the nat command matches the source IP address. If static NAT is desired for
the source host, ensure that the local IP address of the static command matches. If no NAT is desired
for the source host, check the ACL bound to the nat 0 ACL.

Т.е. пакет не знает куда ему идти снаружи с ip 10.10.1.1 к внутрь 10.10.10.2!
"If no NAT is desired for the source host, check the ACL bound to the nat 0 ACL."
т.е. если NAT не нужен для источника (а он и не нужен мне), проверте, чтобы в NAT`е был 0 (он есть!)

может надо

nat (outside) 0 10.10.10.12 255.255.255.0  ????
но когда я его добавляю ч\з web-морду т.н. PDM циска жутко ругается! Почему?

так тоже пробовал:
nat (outside) 0 0.0.0.0 0.0.0.0 0 0
nat (inside) 0 0.0.0.0 0.0.0.0 0 0

Что надо сделать, подскажите, плз! С фаеволами дел не имел :(

Почему нельзя тупо написАть no nat?....

Заранее, спасибо!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Циска pix506E и NAT. Как отключить NAT?"  
Сообщение от Dmitry (??) on 16-Апр-07, 18:30 
>Имеется корп. сеть 10.10.0.0/16
>pix поставил м\д корп.сетью 10.10.0.0/16 и своей сетью 10.10.10.0/24 в роли фаевола(отрубить
>ICMP, RIP, OSPF и прочую лабуду)
>В данной топологии мне NAT не нужен. Все адреса фейковые , не
>интернетовские, "внутренние".
>Соответственно, натить адреса не нужно!
>no nat не прокатывает. Видимо, pixa зашита на предмета NAT`a?
>Прочитал в мануле "Two Interfaces Without NAT or PAT"
>ставлю
>ip address outside 10.10.50.9 255.255.255.0 (воткнут в маршрутизатор у связистов с ip
>10.10.50.1)
>ip address inside 10.10.10.12 255.255.255.0 (моя сеть)
>nat (inside) 0 10.10.50.9 255.255.255.0
>route outside 0.0.0.0 0.0.0.0 10.10.50.1 1
>ну, и, соответственные ACL`ы (для проверки - открыто все).
>access-list outside_access_in permit ip any any
>access-list inside_access_in permit ip any any
>access-group outside_access_in in interface outside
>access-group inside_access_in in interface inside
>=======cut============
>name 10.10.1.1 OUT_MAIL
>name 10.10.10.2 IN_VIRT_NS
>======end cut ========
>
>в логах пишется
>
>%PIX-3-305005: No translation group found for udp src outside:OUT_MAIL/53 dst inside:IN_VIRT_NS/53
>
>???? UDP domain(53) открыто в ACL`ах????
>
>Читаю в мануале :
>Error Message %PIX-3-305005:
>Explanation: A packet does not match any of the outbound nat rules.
>
>Recommended Action: This message signals a configuration error. If dynamic NAT is
>desired for the
>source host, ensure that the nat command matches the source IP address.
>If static NAT is desired for
>the source host, ensure that the local IP address of the static
>command matches. If no NAT is desired
>for the source host, check the ACL bound to the nat 0
>ACL.
>
>Т.е. пакет не знает куда ему идти снаружи с ip 10.10.1.1 к
>внутрь 10.10.10.2!
>"If no NAT is desired for the source host, check the ACL
>bound to the nat 0 ACL."
>т.е. если NAT не нужен для источника (а он и не нужен
>мне), проверте, чтобы в NAT`е был 0 (он есть!)
>
>может надо
>
>nat (outside) 0 10.10.10.12 255.255.255.0  ????
>но когда я его добавляю ч\з web-морду т.н. PDM циска жутко ругается!
>Почему?
>
>так тоже пробовал:
>nat (outside) 0 0.0.0.0 0.0.0.0 0 0
>nat (inside) 0 0.0.0.0 0.0.0.0 0 0
>
>Что надо сделать, подскажите, плз! С фаеволами дел не имел :(
>
>Почему нельзя тупо написАть no nat?....
>
>Заранее, спасибо!


Попробуйте вот так, я правда в pix-ах не силён
pix(config)interface FastEthernet0/0
pix(config-if)no ip nat outside либо inside

то есть набирать набирать команду no ip nat в режиме конфигурации интерфейса, на котором она висит

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Циска pix506E и NAT. Как отключить NAT?"  
Сообщение от wanton email(ok) on 17-Апр-07, 09:01 
>Попробуйте вот так, я правда в pix-ах не силён
>pix(config)interface FastEthernet0/0
>pix(config-if)no ip nat outside либо inside
>
>то есть набирать набирать команду no ip nat в режиме конфигурации интерфейса,
>на котором она висит
набрал. Пикса "проглотила" эти комманды (на outside & inside)? но ... ничего не изменилось :(
Ошибка по всем ip одна и та же 305005

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Циска pix506E и NAT. Как отключить NAT?"  
Сообщение от vofffka email on 17-Апр-07, 09:51 
>>Попробуйте вот так, я правда в pix-ах не силён
>>pix(config)interface FastEthernet0/0
>>pix(config-if)no ip nat outside либо inside
>>
>>то есть набирать набирать команду no ip nat в режиме конфигурации интерфейса,
>>на котором она висит
>набрал. Пикса "проглотила" эти комманды (на outside & inside)? но ... ничего
>не изменилось :(
>Ошибка по всем ip одна и та же 305005

а если попробывать
no nat-control
?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Циска pix506E и NAT. Как отключить NAT?"  
Сообщение от wanton email(ok) on 17-Апр-07, 13:48 
>а если попробывать
>no nat-control
нет такой команды nat-control :(


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Циска pix506E и NAT. Как отключить NAT?"  
Сообщение от magr email(??) on 17-Апр-07, 15:31 

>access-list outside_access_in permit ip any any
>access-list inside_access_in permit ip any any
>access-group outside_access_in in interface outside
>access-group inside_access_in in interface inside

Если в качестве теста, то добавьте к вышеприведенным листам
nat (inside) 0 access-list no_nat
access-list no_nat permit ip any any

+ Проверьте что нету никаких других директив nat и global

>
>Почему нельзя тупо написАть no nat?....
по определению (архитектуре данного устройства)


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Циска pix506E и NAT. Как отключить NAT?"  
Сообщение от vofffka email on 17-Апр-07, 17:14 
>
>>access-list outside_access_in permit ip any any
>>access-list inside_access_in permit ip any any
>>access-group outside_access_in in interface outside
>>access-group inside_access_in in interface inside
>
>Если в качестве теста, то добавьте к вышеприведенным листам
>nat (inside) 0 access-list no_nat
>access-list no_nat permit ip any any
>
>+ Проверьте что нету никаких других директив nat и global
>
>>
>>Почему нельзя тупо написАть no nat?....
>по определению (архитектуре данного устройства)

Ну, тогда все логично: на PIXe пакет не может пройти без какого-либо действия с ним. Предыдущий человек описал nat 0, который не натит, но применяет действие над пакетов.

Хотя странно, у меня и на PIX515 и на ASA 5505/5510/5520 есть команды no nat-control, которые позволяют пропустить пакет без действий над ними.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Циска pix506E и NAT. Как отключить NAT?"  
Сообщение от wanton (??) on 17-Апр-07, 20:08 
>
>>access-list outside_access_in permit ip any any
>>access-list inside_access_in permit ip any any
>>access-group outside_access_in in interface outside
>>access-group inside_access_in in interface inside
>
>Если в качестве теста, то добавьте к вышеприведенным листам
>nat (inside) 0 access-list no_nat
>access-list no_nat permit ip any any

Идея ясна! Протестирую. Спасибо!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Циска pix506E и NAT. Как отключить NAT?"  
Сообщение от wanton (??) on 18-Апр-07, 10:30 
>Если в качестве теста, то добавьте к вышеприведенным листам
>nat (inside) 0 access-list no_nat
>access-list no_nat permit ip any any
>

Вообщем, заработало со след. nat
static (inside,outside) 10.10.10.0 10.10.10.0 netmask 255.255.255.0 0 0

Вот такая чушь.
nat (inside) 0 access-list no_nat пока не пробовал. Pixa в рабочем режиме уже. Тестировать "опасно" ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру