Chào mọi người,

Trên Cisco PIX 535, mình cấu hình các level trên từng interface như sau: outside 0, inside 100, DMZ 50. Theo mặc định thì từ Inside và DMZ đi ra Outside không cần phải cấu hình cho phép phải không? Mình gặp vấn đề này, các máy chủ trên vùng DMZ không đi Internet được nên mình mới cấu hình cho phép tất cả từ DMZ ra ngoài Outside, nhưng sau khi lưu và làm mới thì mình lại thấy câu lệnh đó đổi lại là cho phép tất cả từ DMZ đi vào Inside. Nếu bỏ đi thì máy chủ tại DMZ không đi Internet được, mọi người vui lòng cho hỏi phải sữa lỗi như thế nào vậy? Cám ơ nhiều nhiều lắm.

chào bạn!!!
cú pháp : static (dmz,outside) 203.1.1.9 172.16.1.10 netmask 255.255.255.255
trong đó "203.1.1.9" là địa chỉ outside, "172.16.1.10" là địa chỉ server dmz. bạn thay thế các địa chỉ ip tương ứng với mạng của bạn
cần cấu hình access-list áp dụng lên outside chiều in nếu bạn mún server dmz có thể ra internet
VD: access-list dmz-outside permit tcp any host 203.1.1.9 eq telnet
access-group dmz-outside in interface outside

Chào bạn,

Cấu hình của mình như sau:

static (inside,outside) tcp 203.99.260.23 23 10.1.10.2 23 netmask 255.255.255.255
static (DMZ,outside) tcp 203.99.260.23 21 172.16.10.2 21 netmask 255.255.255.255

access-list outside_in extended permit tcp any host 203.99.260.23 eq 23
access-list outside_in extended permit tcp any host 203.99.260.23 eq 21

access-group outside_in in interface outside

Khi như vậy thì máy chủ ở vùng DMZ không đi Net được, mình phải cho phép vùng DMZ vào Inside thi máy chủ o vùng DMZ mới đi được. Các bạn giúp đỡ dùm nhé.

chào bạn!!trường hợp bạn đang sử dụng là port redirection, mình đang thấy rằng bạn cấu hình mapping giữa dmz và outside chỉ dùng port 21 trên cả source và destination cho phép user nằm phía vùng outside tạo connection đến dmz thông wa port 21 của địa chỉ 203.9.260.23 . nên server ko thể đi net đc,mà bạn mún đi net để làm gì?

vì port source là random nên với cấu hình như trên bạn mún server trong dmz ra được net thì phải cấu hình thêm
asa(config)#nat (dmz) 1 0.0.0.0 0.0.0.0
asa(config)#global (outside) 1 203.9.260.23

Chào bạn,

Mục đích của mình như sau:

1. Cả 2 máy chủ 10.1.10.2 (Inside) và 172.16.10.2 (DMZ) đều được NAT ra Internet với địa chỉ 203.99.260.23
2. Khi bên ngoài kết nối vào địa chỉ 203.99.260.23 cổng 21 thì sẽ được chuyển tới máy chủ 172.16.10.2, còn nếu kết nối tới địa chỉ 203.99.260.23 cổng 23 thì sẽ chuyển tới máy chủ 10.1.10.2.

Và đây là cấu hình của mình đây:

static (inside,outside) tcp 203.99.260.23 23 10.1.10.2 23 netmask 255.255.255.255
static (DMZ,outside) tcp 203.99.260.23 21 172.16.10.2 21 netmask 255.255.255.255

access-list outside_in extended permit tcp any host 203.99.260.23 eq 23
access-list outside_in extended permit tcp any host 203.99.260.23 eq 21

access-group outside_in in interface outside

nat (dmz) 1 172.16.10.2
nat (inside) 1 10.1.10.2
global (outside) 1 203.99.260.23

Như đã nói, máy chủ 172.16.10.2 không đi Internet được, mình phải cấu hình cho phép tòan bộ vùng DMZ qua vùng Outside, nhưng khi làm mới thì lại thấy đổi thành cho phép tòan vùng DMZ vào vùng Inside.

Cám ơn bạn đã giúp đỡ nhiều