Крещение огнём

Учу уже несколько месяцев всякую Циску. До этого как-то обходился без этих знаний, ну, не приходилось мне до сих пор управлять VLAN, DMZ, и прочими умными словами.

Позавчера новые знания, мягко говоря, пригодились на всю катушку, когда удачно попавшей молнией вынесло старый брандмауэр 5520 (да, древний). Вподчистую. Хорошо, что новый был уже в стойке, перекинули айпишники, и начали восстанавливать всё заново. Заново — потому что синтакс бекапов конфига 5520 к новой 5525X не подходит от слова “совсем”. Даже правила для NAT-нутых серверов надо по-другому писать, давать разрешения на доступ к ВНУТРЕННЕМУ айпишнику вместо внешнего (непонять, почему так).

Все выходные на работе просидел блин. Научился, конечно, очень многому, но ну его нафиг, так учиться.

Mirrored from Лабораторный Журнал №6.

Зато в следующий раз будет уже не страшно)
>>. Даже правила для NAT-нутых серверов надо по-другому писать, давать разрешения на доступ к ВНУТРЕННЕМУ айпишнику вместо внешнего (непонять, почему так).
-
Нуу как бэ насколько я помню - нет, так же inside / outside / overload
Ну вот смотри.

Пусть внутренняя сеть у меня 10.0.0.0/8, внешняя 192.168.1.0/24

Допустим я хочу пробросить всё, что едет на 192.168.1.2 на внутренний сервер 10.0.1.2

Я добавляю NAT rule, и ACL. Так вот ACL должен давать any доступ к 10.0.1.2, а не к 192.168.1.2. Иначе нихера не работает.

А в старом брандмауэре, по-моему, было наоборот, разрешать доступ надо было к внешнему.
>> Так вот ACL должен давать any доступ к 10.0.1.2,
-
а, так это решаемо путем просмотра packet-tracer. так не помню что сначала.
Я вот помню что надо было twice-nat делать для VPN, это сначала подбешивало

Ахаха, «молния». Скорее диффузия полупроводников :)