Re: [cisco-ttl] PIX NAT problem

From: Volkan MADRA <katrium46_at_....>
Date: Wed May 24 2006 - 17:47:14 EEST


Selam;    

  Sorununu tam anlamamakla beraber asagidaki yorumlarin isine yarayabileceğini dusunuyorum.    

  10 lu network icinde makinelerin kendi aralarinda haberlesmesi icin firewall'a gitmesine gerek yok. Cunku ayni broadcast domainindeler.    

  Isim sorgulamasinda bir sorun var gibi . Anladigim kadari ile mail sunucudan web sunucuyu isimden sorguluyorsun. Bu durumda web sunucu adresi Legal IP olarak geliyor. Buradan cikacak sonuc:   Ayni broadcast alaninda netbios ile gelen isim sorulamasini o broadcast domain'deki her makinenin almasi gerekir. Bu nedenle 1- netbios ayarlarinda sorun olabilir.
  2- makinelerin subnetmasklerinde hata olabilir. ( web ile mail sunucu ayri subnetlerde )    

  Isim degil de IP kullanarak iletisimde normalde bir sorun olmamasi gerekir.    

  Ayrica Internet uzerinden bu sunucalara gelen her istek icin Pix 'te tanım yapman gerek.   Bunun disinda 10 lu network teki makinelerin internet uzerinden birbiri ile haberlesmesinde gerek olmadigini dusunuyorum. Neden lokal network ten ulasmak varken internet uzerinden haberlessinler? Buna zaten Pix izin vermiyecektir.    

  Baska bir olasilik aklima geliyor. Mesela web sunucusunda hizmet verdigin sayfa www.abc.com olsun. mail sunucusundan bu web sayfasina ulasmak istiyorsun. Bu durumda mail sunucusunun host tablosuna web sunucusunun private adresini yazman yeterli olacaktir.    

  Umarim cozum bulmussundur.                   

umitg2002 <umitg@kocsistem.com.tr> wrote:   Merhaba,

Merhaba,

Aşağıdaki gibi bir konfigürasyonum var;

Local----{X firewall}---(web)--(dns)--(mail)---{PIX 7.0} ----INTERNET

web private ip:10.1.1.1
web legal ip: 200.200.200.1

dns private ip:10.1.1.2
dns legal ip:200.200.200.2

mail private ip:10.1.1.3
mail legal ip:200.200.200.3

Tüm DMZ serverların default gateway'i PIX firewall. Mail sunucudan veya DNS sunucudan web servera legal ip den ulaşılamıyor. Mail sunucu web serveri 200.200.200.1 olarak çözüyor. Bu durumda trafik PIX e yönleniyor ama PIX üzerinde static NAT olmasına rağmen erişim gerçekleşmiyor. Aynı static NAT'i X firewall üzerinde yapıp 200.200.200.0 networkünü X firewall a yönlendirince X firewall bunu anlayıp isteği 10.1.1.1'e gönderiyor.

PIX te static NAT ta DNS options ta "DNS Rewrite" enable yapıyorum ama DNS sorgusu internet tarafından gelmediği için bunu anlamıyor. Bu işlemi PIX üzerinde nasıl gerçekleştirebilirim.? Yardımlarınız için şimdiden teşekkür ederim.

--
Cisco Teknik Tartisma Listesi (Cisco-ttl)

Bu listede onerilen degisikliklerin uygulanmasindaki tum sorumluluk 
kullaniciya aittir. Liste yoneticileri, oneride bulunan liste uyeleri ya da 
bu uyelerin calistigi kuruluslar herhangi bir sekilde sorumlu tutulamazlar. 



  SPONSORED LINKS 
        Communication and networking   Cisco systems inc   Wireless communication and networking 
    
---------------------------------
  YAHOO! GROUPS LINKS 

    
    Visit your group "cisco-ttl" on the web.
    
    To unsubscribe from this group, send an email to:
 cisco-ttl-unsubscribe@yahoogroups.com
    
    Your use of Yahoo! Groups is subject to the Yahoo! Terms of Service. 

    
---------------------------------
  



			
---------------------------------
Sneak preview the  all-new Yahoo.com. It's not radically different. Just radically better. 

[Non-text portions of this message have been removed]





------------------------ Yahoo! Groups Sponsor --------------------~--> 
Home is just a click away.  Make Yahoo! your home page now.
http://us.click.yahoo.com/DHchtC/3FxNAA/yQLSAA/26EolB/TM
--------------------------------------------------------------------~-> 

--
Cisco Teknik Tartisma Listesi (Cisco-ttl)

Bu listede onerilen degisikliklerin uygulanmasindaki tum sorumluluk 
kullaniciya aittir. Liste yoneticileri, oneride bulunan liste uyeleri ya da 
bu uyelerin calistigi kuruluslar herhangi bir sekilde sorumlu tutulamazlar. 
Yahoo! Groups Links


<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/cisco-ttl/
<*> To unsubscribe from this group, send an email to:
cisco-ttl-unsubscribe@yahoogroups.com
<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/
Received on Thu May 25 14:02:04 2006

This archive was generated by hypermail 2.1.8 : Thu May 25 2006 - 14:02:11 EEST