Hi All,
Mình đã config cho user inside access được server trong DMZ và Internet . Bây giờ muốn cho user từ Internet access server trong DMZ nhưng không được.
Cấu hình như sau:
1.inside -> DMZ
global (dmz) 1 172.16.1.100-172.16.1.200 netmask 255.255.255.0
nat (inside) 1 10.1.1.0 255.255.255.0
2.inside -> Internet
global (outside) 1 192.168.1.100-192.168.1.200 netmask 255.255.255.0
3. Internet -> DMZ (not OK)
static (dmz,outside) 192.168.1.3 172.16.1.2 netmask 255.255.255.255
access-list OUTSIDE_ACL extended permit tcp any host 192.168.1.3 eq www
access-list OUTSIDE_ACL extended permit tcp any host 192.168.1.3 eq ftp
access-group OUTSIDE_ACL in interface outside
Mình thấy các traffic khác đều bị deny ngoài WWW và FTP, kiểm tra bảng xlate thấy OK ,nhưng user Internet vẫn không truy cập được vào web và FTP server trong DMZ . Bạn nào phát hiện ra lỗi thì giúp mình nhé. Thks

Hic ,bây giờ mình NAT dùng IP là interface outside
static (dmz,outside) 192.168.1.2 172.16.1.2 netmask 255.255.255.255
access-list OUTSIDE_ACL extended permit tcp any host 192.168.1.2 eq www
access-list OUTSIDE_ACL extended permit tcp any host 192.168.1.3 eq ftp
access-group OUTSIDE_ACL in interface outside
Thì nó báo lỗi:
FW0(config)# %PIX-3-710003: TCP access denied by ACL from 203.1.1.10/1079 to outside:192.168.1.2/80
%PIX-3-710003: TCP access denied by ACL from 203.1.1.10/1079 to outside:192.168.1.2/80
%PIX-3-710003: TCP access denied by ACL from 203.1.1.10/1079 to outside:192.168.1.2/80
Bạn nào biết fix thì giúp mình với.Thks:(

bạn kiểm tra vùng dmz security-level là bao nhieu?
bạn đang sử dụng interface outside là 192.168.1.2 nên cấu hình này: static (dmz,outside) 192.168.1.2 172.16.1.2 netmask 255.255.255.255 này ko thể sử dụng được

Hi nguyenquocle,
Security-level: inside 100, dmz 50, outside 0. Bầy giờ mình dùng IP 192.168.1.3 để NAT cũng không được, lỗi tương tư. Đây là config của con PIX bạn xem giùm mình nó bị lỗi chỗ nào nhé. Thks
PIX Version 7.2(3)
!
hostname FW0
!
interface Ethernet0
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
!
interface Ethernet1
nameif dmz
security-level 50
ip address 172.16.1.1 255.255.255.0
!
interface Ethernet2
nameif outside
security-level 0
ip address 192.168.1.2 255.255.255.0
!
access-list OUTSIDE_ACL extended permit tcp any host 192.168.1.3 eq www
access-list OUTSIDE_ACL extended permit tcp any host 192.168.1.3 eq ftp

nat-control
global (dmz) 1 172.16.1.100-172.16.1.200 netmask 255.255.255.0
global (outside) 1 192.168.1.100-192.168.1.200 netmask 255.255.255.0
nat (inside) 1 10.1.1.0 255.255.255.0
static (dmz,outside) 192.168.1.3 172.16.1.2 netmask 255.255.255.255

access-group OUTSIDE_ACL in interface outside
route outside 0.0.0.0 0.0.0.0 192.168.1.1 1

!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect ftp
!
service-policy global_policy global

clear xlate di,neu ko dc thì reload lai firewall di ban.
lỗi 3-710003 xuất hiện là do firewall đã cấu hình access-list chặn but ở đây mình thấy bạn đã permit rồi thì chắc là do firewall bi lỗi. bạn clear xlate or la lưu cấu hình reload lại FW thử xem.ko được tính típ!!!!

Hi Baracuda!
Kết quả thế nào bạn? Đã được chưa? Tớ thấy vấn đề này hay đấy, mong mọi người giải quyết tận gốc vấn đề để làm kinh nghiệm cho mọi người luôn
Tks