bin jetzt stolzer besitzer einer 535er Cisco PIX (man fühlt sich gleich sicherer )
folgende frage (habe auf der cisco seite leider keine antwort darauf finden können) :
vorab mal ne aktuelle konfig: pix version 6.3 sind alles Class C Netze (255.255.255.0) inside interface mit security 100 (192.168.1.0) outside interface (deaktiviert) interface testlan physisch security 80 "interface" vtestlan1 (ein v-lan auf dem interface testlan) security 80 (192.168.3.0) "interface" vtestlan2 (2tes v-lan auf dem interface testlan) security 79 (192.168.4.0) mittels "nat 0" wird ja quasi kein direktes NAT betrieben sondern die adresse des jeweiligen lan´s direkt übersetzt und sollte ja nicht als access-liste verstanden werden
access-list no_nat permit ip 192.168.1.0 255.255.255.0 ip 192.168.3.0 255.255.255.0 access-list no_nat permit ip 192.168.1.0 255.255.255.0 ip 192.168.4.0 255.255.255.0
nun das prob wenn ich ein ping von nem host im 192.168.1.0 Netz ins 192.168.3.0 Netz absetzte bekomme ich nen hitcount auf der no_nat access-list ; sollte doch nicht sein, oder doch? ich dachte das man die no_nat acess-listen nicht als solches verstehen darf
habe keinen hitcount auf: access-list inside_access_in permit icmp 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0 obwohl das doch die eigentliche access-list wäre
steinigt mich nicht bitte gleich falls ich mich irgendwo verschrieben habe (hab das ganze nicht kopiert sonder per hand mittels köpfen nachvollzogen)
da es schon spät ist, verzeiht mir bitte wenn ich mich undeutlich ausgedrückt habe und meldet euch dass ich euch die benötigten informationen nachliefern kann
bitte um hilfe denn ich seh den fehler nicht bzw. verstehe irgendetwas falsch tausend dank im voraus
Um auf dieses Thema zu ANTWORTEN bitte erst » hier kostenlos registrieren!!
bin jetzt stolzer besitzer einer 535er Cisco PIX (man fühlt sich gleich sicherer )
folgende frage (habe auf der cisco seite leider keine antwort darauf finden können) :
vorab mal ne aktuelle konfig:
pix version 6.3
sind alles Class C Netze (255.255.255.0)
inside interface mit security 100 (192.168.1.0)
outside interface (deaktiviert)
interface testlan physisch security 80
"interface" vtestlan1 (ein v-lan auf dem interface testlan) security 80 (192.168.3.0)
"interface" vtestlan2 (2tes v-lan auf dem interface testlan) security 79
(192.168.4.0)
mittels "nat 0" wird ja quasi kein direktes NAT betrieben sondern die adresse des jeweiligen lan´s direkt übersetzt und sollte ja nicht als access-liste verstanden werden
access-list no_nat permit ip 192.168.1.0 255.255.255.0 ip 192.168.3.0 255.255.255.0
access-list no_nat permit ip 192.168.1.0 255.255.255.0 ip 192.168.4.0 255.255.255.0
nat (inside) 0 access-list no_nat
access-list inside_access_in permit icmp 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0
access-list inside_access_in permit icmp 192.168.1.0 255.255.255.0 192.168.4.0 255.255.255.0
inside_access_in ist natürlich an das inside interface gebunden
access-list vtestlan1_access_in permit icmp 192.168.3.0 255.255.255.0 192.168.1.0 255.255.255.0
nun das prob
wenn ich ein ping von nem host im 192.168.1.0 Netz ins 192.168.3.0 Netz absetzte bekomme ich nen hitcount auf der no_nat access-list ; sollte doch nicht sein, oder doch? ich dachte das man die no_nat acess-listen nicht als solches verstehen darf
habe keinen hitcount auf:
access-list inside_access_in permit icmp 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0
obwohl das doch die eigentliche access-list wäre
steinigt mich nicht bitte gleich falls ich mich irgendwo verschrieben habe (hab das ganze nicht kopiert sonder per hand mittels köpfen nachvollzogen)
da es schon spät ist, verzeiht mir bitte wenn ich mich undeutlich ausgedrückt habe und meldet euch dass ich euch die benötigten informationen nachliefern kann
bitte um hilfe denn ich seh den fehler nicht bzw. verstehe irgendetwas falsch
tausend dank im voraus