Подскажите, возможно ли сделать static nat с интерфейса dmz (security-level 50) на inside(security-level 100)?
Существует решение проблемы через identity NAT:
!
interface Ethernet1
nameif inside
security-level 100
ip address 192.168.99.250 255.255.255.0
!
interface Ethernet2
nameif dmz
security-level 50
ip address 172.21.111.1 255.255.255.0
!
nat-control
global (outside) 1 х.х.х.х
global (dmz) 1 interface
nat (dmz) 1 172.21.111.25 255.255.255.255
static (inside,dmz) 192.168.99.0 192.168.99.0 netmask 255.255.255.0
static (dmz,inside) 192.168.99.25 172.21.111.25 netmask 255.255.255.255

но в таком случае смысл в организации dmz пропадает, т.к. внутренняя сеть становится полностью доступной с dmz.

В общем, задача стоит такая: организация доступа на сервер в dmz с inside интерфейса по локальному адресу(т.е. 192.168.99.х) с сохранением внутренних ip адресов. При этом не должна теряться функциональность dmz.

P.S. Static NAT с интерфейса outside на dmz работает нормально. Проблема именно с inside на dmz. В документации Cisco написано, что режим static не применяется для такого преобразования: http://www.cisco.com/en/US/docs/security/pix/pix63/command/r...