 ASA5505 и 'хитрый' нат,  sintez, 21-Авг-10, 16:21 [смотреть все]Здравствуйте. Есть следующий вопрос по нату на ASA 5505. Дано:
Рабочая станция 192.168.1.10/24
Сервер 192.168.1.20/24
ASA 5505 192.168.1.1/24 (inside)
11.22.33.44/30 (outside) На сервере есть некий сервис, работающий на порту 6000/tcp, на файерволе настроен static nat для проброски этого порта снаружи. Теперь стоит задача, чтобы рабочая станция обратилась к адресу 11.22.33.44:6000 и нормально подключилась. То есть нужно обратиться к inside интерфейсу через outside. Можно ли такое сделать на этой железке? Варианты с DNS и редактированием файла hosts прошу не предлагать. Спасибо.
|
- ASA5505 и 'хитрый' нат, crash, 06:01 , 23-Авг-10 (1)
>На сервере есть некий сервис, работающий на порту 6000/tcp, на файерволе настроен
>static nat для проброски этого порта снаружи. Теперь стоит задача, чтобы
>рабочая станция обратилась к адресу 11.22.33.44:6000 и нормально подключилась. То есть
>нужно обратиться к inside интерфейсу через outside. Можно ли такое сделать
>на этой железке? Варианты с DNS и редактированием файла hosts прошу
>не предлагать. Спасибо. не понятно в чем проблема? Пазрешаете станции выходить наружу и пусть она цепляется на внешний адрес. Права не понятно зачем это надо.
- ASA5505 и 'хитрый' нат, sintez, 09:29 , 23-Авг-10 (3)
>не понятно в чем проблема? Пазрешаете станции выходить наружу и пусть она
>цепляется на внешний адрес.Не получится так. В данном случае получается, что клиентом выступает сама ASA и пакеты будут передаваться на порт 6000 файервола, а не сервера. В Линуксе в iptables такая проблема решается добавлением правила -t nat -A OUTPUT -d 11.22.33.44 -p tcp --dport 6000 -j DNAT --to-destination 192.168.1.20 (адрес сервера). Можно ли сделать тоже самое на Циске?
- ASA5505 и 'хитрый' нат, lumenous, 13:49 , 23-Авг-10 (4)
>>не понятно в чем проблема? Пазрешаете станции выходить наружу и пусть она
>>цепляется на внешний адрес.
>
>Не получится так. В данном случае получается, что клиентом выступает сама ASA
>и пакеты будут передаваться на порт 6000 файервола, а не сервера.
>В Линуксе в iptables такая проблема решается добавлением правила -t nat
>-A OUTPUT -d 11.22.33.44 -p tcp --dport 6000 -j DNAT --to-destination
>192.168.1.20 (адрес сервера). Можно ли сделать тоже самое на Циске? Ну, обратится она на 6000 порт 11.22.33.44, далее через правило, которое у вас прописано, попадает обратно на внутренний интерфейс. По идее все должно работать.
МОжет быть у вас не настроен NAT для выхода изнутри наружу?
- ASA5505 и 'хитрый' нат, lecaf, 15:23 , 23-Авг-10 (5)
Хороший вопрос. Сам с такой же ситуацией столкнулся, потом плюнул - не было времени разбираться. Обошелся на время вариантом с DNS.
- ASA5505 и 'хитрый' нат, sintez, 15:54 , 23-Авг-10 (6)
>Хороший вопрос. Сам с такой же ситуацией столкнулся, потом плюнул - не
>было времени разбираться. Обошелся на время вариантом с DNS. Временно сделал костыль - с рабочая станция по pptp подключается к серваку другого офиса и через его айпишник ходит куда нужно )) Через жопу, конечно, но надо чтобы хоть как-то работало.
|
Версия для распечатки
