четверг, 30 октября 2008 г.

нат, пат, статик и гребанные индусы

Дурная голова как известно не дает покоя всему что растет у организма. Непонятно откуда пришедшая жаба не позволила отдавать двум новым серверам статические адреса. Ну раз пошла такая пьянка решил сделать пул для выходу туда и прибить static pat, что б еще и обратно ходило. Но не тут то было. Простейшая конфигурация в три строки почему то не стала работать. Дальше внутренней сетки никак не получается. Log viewer упорно показывает, как выходной ацл отбивает пакеты с неначенным адресом, и это замечу при живых трансляциях, т.е. пакеты по выходу с интерфейса как бы натятся, оставляя записи в таблице трансляций, но на outside приходят все с тем же "серым" адресом. Не в первой, бубен в руки и отплясывать. К концу четвертого часа длинные портянки ацлок ужались раза в три, болела голова и все так же не работал нат. Пнув от души жабу, написал статик нат, clear xlate - в выходном листе тихо умирают пакеты с неначенным адресом. Анус.
Сижу, пью чай, рассматриваю nat couters, отщелкивает, значит работает. Тупо открываю any ту any. Есть коннект. Сухой остаток - отбив пакет, асашка ищет подходящую трансляцию, и если находит преобразует адреса отправителя и получателя, после чего пишет их в лог. Собсно вопрос остался один, накукуй????
PS
Малеха поостыв вспомнил, что как миним один раз я на эту фичу уже натыкался :(
Обидно вдвойне. 

среда, 29 октября 2008 г.

Условный нат

Мда, не задалась неделька. Пока осваивал интерфейс онлайнового редактора пару раз потерял набранный текст :( Моя любимая вставка средней кнопкой мышы закидывает строку из буфера обмена в гугловый поиск. Набранный текст ессно при этом теряется.

Ну да ближе к делу. Некоторое время был задан вопрос, как нарисовать нат для хоста, так что б натились только пакеты для определенного списка получателей. Это при условии, что асашка в хозяйстве ровно одна.

Есть типовое решение, если память мне не изменяет, доступно прямо на кошкином сайте. В моем случае сделано так:

В acl описываем трафик, который планируем натить.

access-list smtp2ipsec extended permit ip host 192.168.11.11 host 213.180.204.8
access-list smtp2ipsec extended permit ip host 192.168.11.11 host 172.18.4.3
access-list smtp2ipsec extended permit ip host 192.168.11.11 host 172.18.6.2
access-list smtp2ipsec extended permit ip host 192.168.11.11 host 172.18.10.2

и транслируем все, что попадает под аксес лист в 10.0.0.50

static (dmz,to_ipsec) 10.0.0.50 access-list smtp2ipsec

Пакеты, не попадающие в acl, проходят без изменений, что избавляет от головной боли с собственными сотрудниками, у которых при использовании безусловного статика почему-то "все перестает работать". Тут стоить заметить, что "перестает работать" на удаленных площадках, связь с которыми все через туже асашку, а во внутренней сети, что за inside'ом, ессно все пучком.

обыкновенный цинизм

Контора готовит сокращение оптимизацию персонала, обстановка ессно соответствующая. Топаю мимо плазмы в фойе, на которой обычно крутят всякую хрень. На экране какое-то видео с лицами наших сотрудников. Закадровый голос вещает "...одна из основных забот института - это забота о благе своих сотрудников..."  В кадре в этот момент попавшие под сокращение .  Смеялся до слез.

вторник, 28 октября 2008 г.

за жизнь

есть-ли жизнь в оффлайне - это науке не известно...