The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
DMZ to INSIDE на Cisco ASA, !*! Vova, 12-Апр-13, 11:24  [смотреть все]
Всем привет. Есть ASA 5520, выделяет ДМЗ сеть и локалку. Понадобилось из ДМЗ открыть доступ к некоторым серверам в локалке. В принципе инфы много, но чёйта никакой способ не работает. Делал в частности как описано тут: http://www.firewall.cx/forum/10-firewall-filtering-idsips-a-...
разными способами - результат нулевой. Подскажите плиз, что не так ?
Вот конфиг:

!
interface GigabitEthernet0/1
description DMZ LAN
nameif dmz
security-level 50
ip address 172.16.0.1 255.255.0.0
!
interface GigabitEthernet0/2
description LAN
nameif inside
security-level 100
ip address 192.168.111.167 255.255.255.0
!
access-list 1 extended permit ip any any
access-list no_nat_dmz extended permit ip 172.16.0.0 255.255.0.0 192.168.111.0 255.255.255.0
nat (dmz) 0 access-list no_nat_dmz
access-group 1 in interface dmz
access-group 1 out interface dmz

Ответить | Сообщить модератору
  • DMZ to INSIDE на Cisco ASA, !*! Vova, 14:27 , 12-Апр-13 (1)
    >[оверквотинг удален]
    >  description LAN
    >  nameif inside
    >  security-level 100
    >  ip address 192.168.111.167 255.255.255.0
    > !
    > access-list 1 extended permit ip any any
    > access-list no_nat_dmz extended permit ip 172.16.0.0 255.255.0.0 192.168.111.0 255.255.255.0
    > nat (dmz) 0 access-list no_nat_dmz
    > access-group 1 in interface dmz
    > access-group 1 out interface dmz

    пока вышел из положения при помощи static nat:
    static (dmz,inside) 192.168.111.74 172.16.0.116 netmask 255.255.255.255

    но хотелось бы без трансляции, т.к. возможно еще придется открывать доступы. Или это единственный выход ?

    Ответить | Сообщить модератору
    • DMZ to INSIDE на Cisco ASA, !*! Vova, 20:40 , 12-Апр-13 (2)
      >[оверквотинг удален]
      >> !
      >> access-list 1 extended permit ip any any
      >> access-list no_nat_dmz extended permit ip 172.16.0.0 255.255.0.0 192.168.111.0 255.255.255.0
      >> nat (dmz) 0 access-list no_nat_dmz
      >> access-group 1 in interface dmz
      >> access-group 1 out interface dmz
      > пока вышел из положения при помощи static nat:
      > static (dmz,inside) 192.168.111.74 172.16.0.116 netmask 255.255.255.255
      > но хотелось бы без трансляции, т.к. возможно еще придется открывать доступы. Или
      > это единственный выход ?

      Проблема решена:

      global (inside) 3 192.168.111.75
      nat (dmz) 3 172.16.0.0 255.255.0.0 outside

      Ответить | Сообщить модератору
  • DMZ to INSIDE на Cisco ASA, !*! sTALK_specTrum, 01:38 , 14-Апр-13 (3)
    Достаточно было поправить
    nat (dmz) 0 access-list no_nat_dmz outside

    Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру