forum.opennet.ru

Составление сообщения

Исходное сообщение

" CISCO ASA 5510 пробросить порт из WAN в LAN"
Отправлено AlexeyI, 15-Июл-09 15:28

Доброго времени дня. Понадобилось пробросить несколько портов из инета в локалку.
Знающие люди посоветовали команду вида
ip nat inside source static tcp куда порт с_чего порт extendable
Однако она почему-то не работает =\
Вот конфиг циски:
ciscoasa(config)# sh run
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
names
dns-guard
!
interface Ethernet0/0
nameif WAN
security-level 0
ip address xxx.xxx.xxx.xxx 255.255.255.224
!
interface Ethernet0/1
no nameif
no security-level
no ip address
!
interface Ethernet0/1.11
vlan 11
nameif LAN1
security-level 100
ip address 192.168.1.254 255.255.255.0
!
interface Ethernet0/1.12
vlan 12
nameif LAN2
security-level 100
ip address 192.168.2.254 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif Management
security-level 100
ip address 192.168.10.1 255.255.255.0
management-only
!
boot system disk0:/asa802-k8.bin
ftp mode passive
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list WAN_access_in extended permit object-group TCPUDP any host xxx.xxx.xxx.xxx eq www
access-list LAN1_access_in extended permit ip host xxx.xxx.xxx.xxx host 192.168.1.12
access-list LAN1_access_in extended permit ip any any
pager lines 24
logging enable
logging asdm notifications
mtu WAN 1500
mtu LAN1 1500
mtu LAN2 1500
mtu Management 1500
icmp unreachable rate-limit 1 burst-size 1
icmp permit any WAN
asdm image disk0:/asdm-611.bin
no asdm history enable
arp timeout 14400
global (WAN) 101 interface
global (WAN) 102 xxx.xxx.xxx.yyy
nat (LAN1) 101 192.168.1.0 255.255.255.0
nat (LAN2) 102 192.168.2.0 255.255.255.0
static (WAN,LAN1) tcp 192.168.1.12 www xxx.xxx.xxx.xxx www netmask 255.255.255.255
access-group WAN_access_in in interface WAN
access-group LAN1_access_in in interface LAN1
route WAN 0.0.0.0 0.0.0.0 xxx.xxx.xxx.zzz 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.10.0 255.255.255.0 Management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no service resetoutbound interface WAN
: end
Надо чтобы с внешнего адреса xxx.xxx.xxx.xxx транслировался 80 порт в локалку на адрес 192.168.1.12
На данном этапе пишет следующую ошибку в логах:
TCP access denied by ACL from REMOTE_IP/3653 to WAN:WAN_IP/80
Где я не докрутил?

Исходное сообщение
" CISCO ASA 5510 пробросить порт из WAN в LAN" Отправлено AlexeyI, 15-Июл-09 15:28
Доброго времени дня. Понадобилось пробросить несколько портов из инета в локалку. Знающие люди посоветовали команду вида ip nat inside source static tcp куда порт с_чего порт extendable Однако она почему-то не работает =\ Вот конфиг циски: ciscoasa(config)# sh run : Saved : ASA Version 8.0(2) ! hostname ciscoasa names dns-guard ! interface Ethernet0/0 nameif WAN security-level 0 ip address xxx.xxx.xxx.xxx 255.255.255.224 ! interface Ethernet0/1 no nameif no security-level no ip address ! interface Ethernet0/1.11 vlan 11 nameif LAN1 security-level 100 ip address 192.168.1.254 255.255.255.0 ! interface Ethernet0/1.12 vlan 12 nameif LAN2 security-level 100 ip address 192.168.2.254 255.255.255.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 nameif Management security-level 100 ip address 192.168.10.1 255.255.255.0 management-only ! boot system disk0:/asa802-k8.bin ftp mode passive object-group protocol TCPUDP protocol-object udp protocol-object tcp access-list WAN_access_in extended permit object-group TCPUDP any host xxx.xxx.xxx.xxx eq www access-list LAN1_access_in extended permit ip host xxx.xxx.xxx.xxx host 192.168.1.12 access-list LAN1_access_in extended permit ip any any pager lines 24 logging enable logging asdm notifications mtu WAN 1500 mtu LAN1 1500 mtu LAN2 1500 mtu Management 1500 icmp unreachable rate-limit 1 burst-size 1 icmp permit any WAN asdm image disk0:/asdm-611.bin no asdm history enable arp timeout 14400 global (WAN) 101 interface global (WAN) 102 xxx.xxx.xxx.yyy nat (LAN1) 101 192.168.1.0 255.255.255.0 nat (LAN2) 102 192.168.2.0 255.255.255.0 static (WAN,LAN1) tcp 192.168.1.12 www xxx.xxx.xxx.xxx www netmask 255.255.255.255 access-group WAN_access_in in interface WAN access-group LAN1_access_in in interface LAN1 route WAN 0.0.0.0 0.0.0.0 xxx.xxx.xxx.zzz 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy http server enable http 192.168.10.0 255.255.255.0 Management no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart no service resetoutbound interface WAN : end Надо чтобы с внешнего адреса xxx.xxx.xxx.xxx транслировался 80 порт в локалку на адрес 192.168.1.12 На данном этапе пишет следующую ошибку в логах: TCP access denied by ACL from REMOTE_IP/3653 to WAN:WAN_IP/80 Где я не докрутил?

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Доброго времени дня. Понадобилось пробросить несколько портов из инета в локалку.
> Знающие люди посоветовали команду вида 
> ip nat inside source static tcp куда порт с_чего порт extendable 
> Однако она почему-то не работает =\

> Вот конфиг циски: 
> ciscoasa(config)# sh run 
> : Saved 
> : 
> ASA Version 8.0(2) 
> !
> hostname ciscoasa 
> names 
> dns-guard 
> !
> interface Ethernet0/0 
> nameif WAN 
> security-level 0 
> ip address xxx.xxx.xxx.xxx 255.255.255.224 
> !
> interface Ethernet0/1 
> no nameif 
> no security-level 
> no ip address 
> !
> interface Ethernet0/1.11 
> vlan 11 
> nameif LAN1 
> security-level 100 
> ip address 192.168.1.254 255.255.255.0 
> !
> interface Ethernet0/1.12 
> vlan 12 
> nameif LAN2 
> security-level 100 
> ip address 192.168.2.254 255.255.255.0 
> !
> interface Ethernet0/2 
> shutdown 
> no nameif 
> no security-level 
> no ip address 
> !
> interface Ethernet0/3 
> shutdown 
> no nameif 
> no security-level 
> no ip address 
> !
> interface Management0/0 
> nameif Management 
> security-level 100 
> ip address 192.168.10.1 255.255.255.0 
> management-only 
> !
> boot system disk0:/asa802-k8.bin 
> ftp mode passive 
> object-group protocol TCPUDP 
> protocol-object udp 
> protocol-object tcp 
> access-list WAN_access_in extended permit object-group TCPUDP any host xxx.xxx.xxx.xxx 
> eq www 
> access-list LAN1_access_in extended permit ip host xxx.xxx.xxx.xxx host 192.168.1.12 
 
> access-list LAN1_access_in extended permit ip any any 
> pager lines 24 
> logging enable 
> logging asdm notifications 
> mtu WAN 1500 
> mtu LAN1 1500 
> mtu LAN2 1500 
> mtu Management 1500 
> icmp unreachable rate-limit 1 burst-size 1 
> icmp permit any WAN 
> asdm image disk0:/asdm-611.bin 
> no asdm history enable 
> arp timeout 14400 
> global (WAN) 101 interface 
> global (WAN) 102 xxx.xxx.xxx.yyy 
> nat (LAN1) 101 192.168.1.0 255.255.255.0 
> nat (LAN2) 102 192.168.2.0 255.255.255.0 
> static (WAN,LAN1) tcp 192.168.1.12 www xxx.xxx.xxx.xxx www netmask 255.255.255.255 
> access-group WAN_access_in in interface WAN 
> access-group LAN1_access_in in interface LAN1 
> route WAN 0.0.0.0 0.0.0.0 xxx.xxx.xxx.zzz 1 
> timeout xlate 3:00:00 
> timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 
> timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 
> timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 
> timeout uauth 0:05:00 absolute 
> dynamic-access-policy-record DfltAccessPolicy 
> http server enable 
> http 192.168.10.0 255.255.255.0 Management 
> no snmp-server location 
> no snmp-server contact 
> snmp-server enable traps snmp authentication linkup linkdown coldstart 
> no service resetoutbound interface WAN 
> : end

> Надо чтобы с внешнего адреса xxx.xxx.xxx.xxx транслировался 80 порт в локалку на 
> адрес 192.168.1.12 
> На данном этапе пишет следующую ошибку в логах: 
> TCP access denied by ACL from REMOTE_IP/3653 to WAN:WAN_IP/80 
> Где я не докрутил?

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру