Xin moi nguoi giup ve Pix 515E!

[congaconhn]

Mình đang chuyển đổi mô hình mạng của công ty ra như sau:

Server Vlan ------- (inside) Pix515 (outside)----------Checkpoint------router (leasedline)-----leasedline

Hồi xưa công ty mình có pix515E giờ mua thêm firewall mới hiện tại mình muốn làm như sau:

- Sử dụng Checkpoint để public các server Mail, Web ra địa chỉ IP tĩnh từ thuên Leased line
- trên Pix515E chỉ cần cho thông các dịch vụ từ Checkpoint tới Miền Server Vlan ( từ outside vào inside)

hiện tại mình đang phân vân như sau: Trên Pix515E có quy tắc là các gói tin từ miền security level thấp hơn sang miền Security level cao hơn thì phải cấu hình 2 việc sau:
- cấu hình NAT
- đặt Access-list

nhưng hiện tại mình muốn là các dịch vụ có thể đi được từ bên ngoài vào VLan Server mà không cần sử dụng NAT có được không? Liệu sử dụng mỗi Access-list có được không.
Xin các pro giúp đỡ mình nhé.

[hoakylan]

Chào bàn theo mình nghĩ NAT và ACL và 2 việc khác nhau bạn ah
NAT là chuyển đổi địa chỉ Insite ra Outsite và ngược lại để cho mạng I/O trên môi trường Public chẵn hạn Internet.
Còn ACL và xây dựng một chính sách Security cho mạng thôi. nên bạn phải làm cả 2 cho con Firewall của bạn.
Nếu không NAT thì Routing .

[hoannx]

Hi!
- traffic muốn đi từ level cao đến level thấp thì phải có Nat
- traffic muốn đi từ level thấp đến level cao thì phải có access-list
Đấy là quy tắc của firewall, bạn cứ vậy mà áp dụng
Chúc thành công

[congaconhn]

Hi!
- traffic muốn đi từ level cao đến level thấp thì phải có Nat
- traffic muốn đi từ level thấp đến level cao thì phải có access-list
Đấy là quy tắc của firewall, bạn cứ vậy mà áp dụng
Chúc thành công

Hi bạn! Cảm ơn bạn đã trả lời. Nhưng ở đây mình không muốn NAT trên Pix mà chỉ muốn đặt Access-list thôi và Routing nữa. Vì mọi việc NAT Và Public Server mình đã làm trên Checkpoint rùi. Vì mình không muốn lại phải qua 2 lần NAT.
Mình muốn confim lại là xem có thể không dùng NAT mà có thể từ vùng ngoài đi vào các dịch vụ trong miền Server Vlan thôi.

[chuoi_pro]

Hi!
- traffic muốn đi từ level cao đến level thấp thì phải có Nat
- traffic muốn đi từ level thấp đến level cao thì phải có access-list
Đấy là quy tắc của firewall, bạn cứ vậy mà áp dụng
Chúc thành công

Hi ban !

Minh khong su dung nat hoac ACL va chay duoc ma . Routing chay cung ok vay !

regards !

[congaconhn]

Hi ban !

Minh khong su dung nat hoac ACL va chay duoc ma . Routing chay cung ok vay !

regards !

Hi chuối pro! Ý bạn ở đây là gì ạ. Trong mạng của tớ không dùng định tuyễn động nhé, Cậu có thể cho tớ biết ý tưởng không ạ

[chuoi_pro]

Hi chuối pro! Ý bạn ở đây là gì ạ. Trong mạng của tớ không dùng định tuyễn động nhé, Cậu có thể cho tớ biết ý tưởng không ạ

HI Ban !

Vi firewall nay nam o local nen ban chi can su dung static routing de route cai day IP inside ra ngoai outside thoi. Con ve ACL thi van apply binh thuong de permit theo port hoac theo IP cho cac day IP khac ket noi den tu outside di vao hoac tu inside di ra.

regards!

[congacon]

HI Ban !

Vi firewall nay nam o local nen ban chi can su dung static routing de route cai day IP inside ra ngoai outside thoi. Con ve ACL thi van apply binh thuong de permit theo port hoac theo IP cho cac day IP khac ket noi den tu outside di vao hoac tu inside di ra.

regards!

Ý của bạn ở đây là Static Nat à. Nói qua cho mình cách này không và vài câu lệnh demo thì tốt quá.

[hoakylan]

Server Vlan ------- (inside) Pix515 (outside)----------Checkpoint------router (leasedline)-----leasedline
theo mô hình bạn như vây đúng ko nè!
bây giờ bạn muốn cho vùng insite ra outsite và ngược lại dúng ko?
bạn thử làm 2 việc sau:
Nat static
và sau đó routing
với nat:
dùng lệnh :
static(insite,outsite) ip outsite ip intsite netmark 255.255.255.255
ví dụ:
static (insite,outsite) 172.16.1.30 192.168.10.10 netmark 255.255.255.255
......................................co bao nhiêu ip thì nat bấy nhiêu .
cuối cùng routing:
chơi default route luôn
0.0.0.0 0.0.0.0 172.16.1.254 (ip của interface mà checkpoint của bạn kết nối với Pix.)
như vậy bạn đã đẫy toàn bô traffic qua checkpoint rồi ,xong có kết quả thì buzz mình phát mừng coi.