Отвечаю сам себе - пришлось таки разнести интерфейсы на _разные_ подсети, т.е. разделить не маской, а номером подсети. Снаружи ssh доступ на сервер в DMZ есть. Теперь вопрос по доступу от low security интерфейса на hi security интерфейс: делаю static: access-list acl_in permit tcp any any access-list acl_in permit icmp any any access-list acl_in permit udp any any access-list acl_dmz permit tcp any any access-list acl_dmz permit icmp any any access-list acl_dmz permit udp any any global (inside) 2 192.168.15.249-192.168.15.250 global (inside) 3 interface global (dmz) 1 interface nat (inside) 1 192.168.15.20 255.255.255.255 0 0 nat (dmz) 1 192.168.7.66 255.255.255.255 0 0 static (dmz,inside) tcp 192.168.15.250 ssh 192.168.7.66 ssh netmask 255.255.255.255 0 0 static (inside,dmz) udp 192.168.7.67 domain 192.168.9.1 domain netmask 255.255.255.255 0 0 static (inside,dmz) tcp 192.168.7.67 domain 192.168.9.1 domain netmask 255.255.255.255 0 0 static (inside,dmz) udp 192.168.7.67 ntp 192.168.0.15 ntp netmask 255.255.255.255 0 0 static (inside,dmz) tcp 192.168.7.67 ssh 192.168.15.20 ssh netmask 255.255.255.255 0 0 access-group acl_in in interface inside access-group acl_dmz in interface dmzпотом с узла 192.168.7.66 делаю nslookup - 192.168.7.67... и тишина, и отваливается с сообщением "No response received". лог PIX'а: 609001: Built local-host inside:192.168.9.1 305011: Built static UDP translation from inside:192.168.9.1/53 to dmz:192.168.7.67/53 302015: Built inbound UDP connection 15 for dmz:192.168.7.66/35019 (192.168.7.66/35019) to inside:192.168.9.1/53 (192.168.7.67/53) Может какие-то варианты есть?
|