---

Først og fremmest: Når man har spm. vedr. konf. af en PIX: Hvilken gruppe er
korrekt at spørge i:
dk.edb.netvaerk eller dk.edb.sikkerhed ???
Vil nødig spørge på den forkerte gruppe!

Dernæst til mine 2 spm.:

1)
Hvordan tildeler man flere Ip-adresser til sit outside interface på en PIX
515 ?
Synes ikke jeg kan se på dok. på cisco.com - prøver at lede liudt videre.
men måske kan en hjælpe mig ???

2)
Fra outside skal man kunne tilgå en server indvendigt. Denne server skal
kunne tilgåes med SSH og Web!
Jeg vil derfor lave en statisk mapning mellem "det ekstra outside interface
ip-nummer" (som jeg prøver at oprette i punkt 1)
Inden jeg starter med at dykke ned i syntaks og konfiguration vil jeg lige
høre om det er den rigtige måde at gøre det på?
(cisco's website har i øvrigt en god dokumentation omkring konf. af PIX'en)!

Hilsen
Christian

---

Hej Christian
1)
Du kan ikke tildele 2 ip adresser til pixen`s interface.
2)
Hvis du laver en statisk mapning til en ip adresse i samme range som outside
interface, så vil pixen svare på det!!
Altså hvis dit outside interface er x.x.x.1/24 kan du godt lave en mapning i
pixen fra x.x.x.2/24 til en inside ip adresse.
En god ide er at begrænse max. connections & half open connections.
Og Ja, det er den rigtige måde at lave det på..........
mvh
Søren
"Christian Thorsen" <nospam@nospam.com> skrev i en meddelelse
news:apodco$3e3ra$1@ID-139211.news.dfncis.de...
> Først og fremmest: Når man har spm. vedr. konf. af en PIX: Hvilken gruppe
er
> korrekt at spørge i:
> dk.edb.netvaerk eller dk.edb.sikkerhed ???
> Vil nødig spørge på den forkerte gruppe!
>
> Dernæst til mine 2 spm.:
>
> 1)
> Hvordan tildeler man flere Ip-adresser til sit outside interface på en PIX
> 515 ?
> Synes ikke jeg kan se på dok. på cisco.com - prøver at lede liudt videre.
> men måske kan en hjælpe mig ???
>
> 2)
> Fra outside skal man kunne tilgå en server indvendigt. Denne server skal
> kunne tilgåes med SSH og Web!
> Jeg vil derfor lave en statisk mapning mellem "det ekstra outside
interface
> ip-nummer" (som jeg prøver at oprette i punkt 1)
> Inden jeg starter med at dykke ned i syntaks og konfiguration vil jeg lige
> høre om det er den rigtige måde at gøre det på?
> (cisco's website har i øvrigt en god dokumentation omkring konf. af
PIX'en)!
>
> Hilsen
> Christian
>
>
>

---

On Wed, 30 Oct 2002 12:32:16 +0100, "smi"
<s.mikkelsen_remove_@kabelnettet.dk> wrote:

> Du kan ikke tildele 2 ip adresser til pixen`s interface.

Nej, ikke til PIX'en selv, men hvorfor skulle man også det?

-A

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote:

> > Du kan ikke tildele 2 ip adresser til pixen`s interface.
>
> Nej, ikke til PIX'en selv, men hvorfor skulle man også det?

Skal man ikke det hvis men har 2 subnet på et interface, eller rettere
understøtter static et subnet hvor pix'en ikke har en ip adresse på et
interface i det pågældende subnet.

?


--
Med Venlig Hilsen

Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar, George Antheil and now also Anders Hejlsberg

---

> Skal man ikke det hvis men har 2 subnet på et interface, eller rettere
> understøtter static et subnet hvor pix'en ikke har en ip adresse på et
> interface i det pågældende subnet.

Nej, du kan køre private IP adresser i alle dine DMZ samt LAN, og så bare
laver en static der henviser til, at alt traffik der bliver sendt til den
eller de off. adresser skal routes videre til den interne adresse.

Mvh
Thomas

---

"TVN" <tvn@vandsted-fjern_dette.com> wrote:

> > Skal man ikke det hvis men har 2 subnet på et interface, eller rettere
> > understøtter static et subnet hvor pix'en ikke har en ip adresse på et
> > interface i det pågældende subnet.
>
> Nej, du kan køre private IP adresser i alle dine DMZ samt LAN, og så bare
> laver en static der henviser til, at alt traffik der bliver sendt til den
> eller de off. adresser skal routes videre til den interne adresse.

Øhhh, det var ikke det jeg spurgte om, jeg ved godt hvad NAT og PAT er.

Spørgsmålet var om PIX'en kunne lave en static til en IP adresse på et
subnet som ingen af dens interfaces er i ?

Naturligvis forudsætter vi at det pågældende subnet rent faktisk eksisterer
på et ben, f.eks. som et secondary på en IOS router.


--
Med Venlig Hilsen

Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar, George Antheil and now also Anders Hejlsberg

---

"Ulrik Lunddahl" <nospam037@lunddahl.dk> wrote in message
news:appscq$plc$1@sunsite.dk...
> Spørgsmålet var om PIX'en kunne lave en static til en IP adresse på et
> subnet som ingen af dens interfaces er i ?
>
Jeps.. det kan den sagtens - Jeg ved ikke om det er et krav at PIXen også
har en route til det net, men det hjælper med at få trafikken frem :)

--
-Lasse-

---

"Lasse Leegaard" <Lasse@b.r.a.n.d.b.i.l...d.k.> wrote:

> > Spørgsmålet var om PIX'en kunne lave en static til en IP adresse på et
> > subnet som ingen af dens interfaces er i ?
> >
> Jeps.. det kan den sagtens - Jeg ved ikke om det er et krav at PIXen også
> har en route til det net, men det hjælper med at få trafikken frem :)

Tak for info, det vidste jeg simpelthen ikke, godt min konfiguration er
ganske simpel, og at vi ikke hoster nogen af vores offentlige services
lokalt.

Egentligt er det lidt synd at have en PIX-515-UR med 4 ben til at lukke for
alt undtagen vores ISP's mailserver der smider post ind i vores exchange
kasse.

Men cisco kastede den i nakken på os, og jeg kunne simpelthen ikke stå for
det.

--
Med Venlig Hilsen

Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar, George Antheil and now also Anders Hejlsberg

---

> Øhhh, det var ikke det jeg spurgte om, jeg ved godt hvad NAT og PAT er.
Sorry jeg misforstod dit spørgsmål.

> Spørgsmålet var om PIX'en kunne lave en static til en IP adresse på et
> subnet som ingen af dens interfaces er i ?
>
> Naturligvis forudsætter vi at det pågældende subnet rent faktisk
eksisterer
> på et ben, f.eks. som et secondary på en IOS router.

Det kan den godt, der skal være en routning i PIX´en til det subnet.
I tilfælde af at det kunne lade sig at tildele flere IP adresser til samme
interface og man tildelte en IP adresse fra det routet subnet, ville
trafikken ikke blive routet, da PIX´en ville forsøge at finde hosten lokalt.

Mvh
Thomas

---

> Nej, ikke til PIX'en selv, men hvorfor skulle man også det?

Det troede jeg man skulle, hvis man skulle mappe en intern service til en
IP-adresse på interfacet... så troede jeg man skulle tildele interfacet et
IP-nummer for at kunne lave en statisk mapning! Men det lader det åbenbart
til, at man ikke skal ?

---

On Wed, 30 Oct 2002 11:49:11 +0100, "Christian Thorsen"
<nospam@nospam.com> wrote:

> Hvordan tildeler man flere Ip-adresser til sit outside interface
> på en PIX 515 ?

'Flere IP-adresser' som i 'offentlige IP-adresser til servere'?
Se på static-kommandoen i dokumentationen.

> Fra outside skal man kunne tilgå en server indvendigt. Denne server
> skal kunne tilgåes med SSH og Web!

Du skal lave en static for den nye server, og så skal du lave en
access-liste, der tillader SSH og web.

-A

---

> Du skal lave en static for den nye server, og så skal du lave en
> access-liste, der tillader SSH og web.

OK! Tak for hjælpen, Asbjørn.