Temat: NAT i RuleBase

systuacja NAT wyglada mniej wiecej tak:

orginal: s:10.1.1.23 d:192.168.0.33 | translated s:192.168.0.55 d:172.16.11.123

a teraz pytanie, czy wystarczy pozwolic tylko z 10.1.1.23 do 192.168.0.33 czy rowniez dla adresow "translated" powinna byc Rule?

Pozdrawiam i z gory dziekuje :-)
P.

Temat: NAT i RuleBase

Witam :)

Sprawa wyglada tak :) jesli robi Pan translacje za pomoca wlasnosci obiektu to nie trzeba robic wpisów w polityce na obiekty ( adresy IP po translacji Typ translacji STATIC ) jesli jednak wpisy nat sa robione manualnie SNAT / DNAT to w polityce powinno uzyc sie adresacji po translacji.

Z przykladu ktory pan w/w trzeba bedzie uzyc adresacji po translacji bo za pomoca opcji obiektow nie da sie wyklikac SNAT-a i DNAT-a :)

proponuje albo smart trakera zakladka firewall i popatrzex na xlate

lub fw monitor -m Io jesli sie nie myle oraz interfejsy na ktore ruch wpada przed modulem ( virtualna maszyna ) fw i ktorymi go pouszcza. Wszystko tak ladnie widac w ktorym miejscu dochodzi do translacji itd....

pozdrawiam

Temat: NAT i RuleBase

Czesc

fw monitor -e "accept src=10.252.5.184 and dst=192.168.254.34;"

eth2:i[52]: 10.252.5.184 -> 192.168.254.34 (TCP) len=52 id=25584
TCP: 2055 -> 50000 .S.... seq=b950738c ack=00000000
eth2:I[52]: 10.252.5.184 -> 192.168.254.34 (TCP) len=52 id=25584
TCP: 2055 -> 50000 .S.... seq=b950738c ack=00000000
eth4:o[52]: 10.252.5.184 -> 192.168.254.34 (TCP) len=52 id=25584
TCP: 2055 -> 50000 .S.... seq=b950738c ack=00000000
eth4:O[52]: 10.252.5.184 -> 192.168.254.34 (TCP) len=52 id=25584
TCP: 2055 -> 50000 .S.... seq=b950738c ack=00000000

Jesli dobrze rozumiem to nie ma translacji? oczywiscie na fw monitor jest filter ale w takim przypadku nie powinno byc widac output?

Czy przypadkiem polityka nie jest sprawdzana przed translacja? tak to wynika z tracker'a ktory akceptuje traffic "SNAT".

Pozdrawiam

P.S. Sakra, jaki "Pan"? Taki stary to ja jeszcze nie jestem ;-)

Temat: NAT i RuleBase

:) hhehe no ok :) to jest tak ze podczas instalacji polityki CP kompiluje wsyzstko i sprawdza czy dany obiekt posiada translacje w jego wlasciwosciach lub w tablicy nat nie ma jakis wpisów odnosnie specyficznych translacji.

z tego co widac w fw monitorze nie ma zadnej translacji.

Jesli miała byc to proponuje przegladnać tablice nat i sprawdzic w ktorym miejscu jest wpis odnoszacy sie do tego hosta

Tablica nat tak jak w przypadku security policy jest czytana z gory do dołu gdy cos zlapie sie wczesniej to kapa

pozdrawiam

Temat: NAT i RuleBase

troche tych wpisow w nat jest... na szczescie problem znalazl sie juz w pierwszej setce :-)

dziekuje za pomoc i pozdrawiam
P.