forum.opennet.ru - "DMZ to INSIDE на Cisco ASA" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"DMZ to INSIDE на Cisco ASA"

Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"DMZ to INSIDE на Cisco ASA"	+/–
Сообщение от Vova (??) on 12-Апр-13, 11:24
Всем привет. Есть ASA 5520, выделяет ДМЗ сеть и локалку. Понадобилось из ДМЗ открыть доступ к некоторым серверам в локалке. В принципе инфы много, но чёйта никакой способ не работает. Делал в частности как описано тут: http://www.firewall.cx/forum/10-firewall-filtering-idsips-a-... разными способами - результат нулевой. Подскажите плиз, что не так ? Вот конфиг: ! interface GigabitEthernet0/1 description DMZ LAN nameif dmz security-level 50 ip address 172.16.0.1 255.255.0.0 ! interface GigabitEthernet0/2 description LAN nameif inside security-level 100 ip address 192.168.111.167 255.255.255.0 ! access-list 1 extended permit ip any any access-list no_nat_dmz extended permit ip 172.16.0.0 255.255.0.0 192.168.111.0 255.255.255.0 nat (dmz) 0 access-list no_nat_dmz access-group 1 in interface dmz access-group 1 out interface dmz
Ответить \| Правка \| Cообщить модератору

Оглавление

DMZ to INSIDE на Cisco ASA, Vova, 14:27 , 12-Апр-13, (1)

DMZ to INSIDE на Cisco ASA, Vova, 20:40 , 12-Апр-13, (2)

DMZ to INSIDE на Cisco ASA, sTALK_specTrum, 01:38 , 14-Апр-13, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "DMZ to INSIDE на Cisco ASA" +/–

Сообщение от Vova (??) on 12-Апр-13, 14:27

>[оверквотинг удален]
>  description LAN
>  nameif inside
>  security-level 100
>  ip address 192.168.111.167 255.255.255.0
> !
> access-list 1 extended permit ip any any
> access-list no_nat_dmz extended permit ip 172.16.0.0 255.255.0.0 192.168.111.0 255.255.255.0
> nat (dmz) 0 access-list no_nat_dmz
> access-group 1 in interface dmz
> access-group 1 out interface dmz
пока вышел из положения при помощи static nat:
static (dmz,inside) 192.168.111.74 172.16.0.116 netmask 255.255.255.255
но хотелось бы без трансляции, т.к. возможно еще придется открывать доступы. Или это единственный выход ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "DMZ to INSIDE на Cisco ASA" +/–

Сообщение от Vova (??) on 12-Апр-13, 20:40

>[оверквотинг удален]
>> !
>> access-list 1 extended permit ip any any
>> access-list no_nat_dmz extended permit ip 172.16.0.0 255.255.0.0 192.168.111.0 255.255.255.0
>> nat (dmz) 0 access-list no_nat_dmz
>> access-group 1 in interface dmz
>> access-group 1 out interface dmz
> пока вышел из положения при помощи static nat:
> static (dmz,inside) 192.168.111.74 172.16.0.116 netmask 255.255.255.255
> но хотелось бы без трансляции, т.к. возможно еще придется открывать доступы. Или
> это единственный выход ?
Проблема решена:
global (inside) 3 192.168.111.75
nat (dmz) 3 172.16.0.0 255.255.0.0 outside

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "DMZ to INSIDE на Cisco ASA" +/–

Сообщение от sTALK_specTrum on 14-Апр-13, 01:38

Достаточно было поправить
nat (dmz) 0 access-list no_nat_dmz outside

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "DMZ to INSIDE на Cisco ASA"	+/–
Сообщение от Vova (??) on 12-Апр-13, 14:27
>[оверквотинг удален] > description LAN > nameif inside > security-level 100 > ip address 192.168.111.167 255.255.255.0 > ! > access-list 1 extended permit ip any any > access-list no_nat_dmz extended permit ip 172.16.0.0 255.255.0.0 192.168.111.0 255.255.255.0 > nat (dmz) 0 access-list no_nat_dmz > access-group 1 in interface dmz > access-group 1 out interface dmz пока вышел из положения при помощи static nat: static (dmz,inside) 192.168.111.74 172.16.0.116 netmask 255.255.255.255 но хотелось бы без трансляции, т.к. возможно еще придется открывать доступы. Или это единственный выход ?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "DMZ to INSIDE на Cisco ASA"	+/–
	Сообщение от Vova (??) on 12-Апр-13, 20:40
	>[оверквотинг удален] >> ! >> access-list 1 extended permit ip any any >> access-list no_nat_dmz extended permit ip 172.16.0.0 255.255.0.0 192.168.111.0 255.255.255.0 >> nat (dmz) 0 access-list no_nat_dmz >> access-group 1 in interface dmz >> access-group 1 out interface dmz > пока вышел из положения при помощи static nat: > static (dmz,inside) 192.168.111.74 172.16.0.116 netmask 255.255.255.255 > но хотелось бы без трансляции, т.к. возможно еще придется открывать доступы. Или > это единственный выход ? Проблема решена: global (inside) 3 192.168.111.75 nat (dmz) 3 172.16.0.0 255.255.0.0 outside
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

3. "DMZ to INSIDE на Cisco ASA"	+/–
Сообщение от sTALK_specTrum on 14-Апр-13, 01:38
Достаточно было поправить nat (dmz) 0 access-list no_nat_dmz outside
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору