Добрый день. Есть Cisco ASA 5510 у которой к интерфейсу inside подключена ЛВС (10.0.0.0.24), а к интерфейсу outside сеть с реальными Интернет адресами (x.x.x.x/28) в этой сети есть сервер (IP - x.x.x.XXX) который должен соединяться с сервером СУБД в ЛВС (IP - 10.0.0.2/24, port 10000). Подскажите как организовать такое взаимодействие.
Пробовал создать лист доступа с разрешением для данного соединения и привязал его к outside интерфейсу, но не помогло...
ciscoasa(config)# access-list 110 extended permit tcp host x.x.x.XXX host 10.0.0.2 eq 10000
ciscoasa(config)# access-group 110 in interface outside
>Добрый день. Есть Cisco ASA 5510 у которой к интерфейсу inside подключена
>ЛВС (10.0.0.0.24), а к интерфейсу outside сеть с реальными Интернет адресами
>(x.x.x.x/28) в этой сети есть сервер (IP - x.x.x.XXX) который должен
>соединяться с сервером СУБД в ЛВС (IP - 10.0.0.2/24, port 10000).
>Подскажите как организовать такое взаимодействие.
>Пробовал создать лист доступа с разрешением для данного соединения и привязал его
>к outside интерфейсу, но не помогло...
>ciscoasa(config)# access-list 110 extended permit tcp host x.x.x.XXX host 10.0.0.2 eq 10000
>
>ciscoasa(config)# access-group 110 in interface outsideесли аса делает нат, то нужно чтобы соединение инициируемое сервером в лок. сети. под нат не попадало.
>если аса делает нат, то нужно чтобы соединение инициируемое сервером в лок.
>сети. под нат не попадало.Если не трудно, поподробней... или в примере..
>>если аса делает нат, то нужно чтобы соединение инициируемое сервером в лок.
>>сети. под нат не попадало.Получается ситуация, что сервер из Интернета (outside интерфейс) инициирует соединение с сервером в ЛВС...
А-у-у-у....
Кто знает, подскажите пожалуйста...
Правильно ли я понял, что есть потребность дать доступ узлам извне (internet) к локальному ресурсу? Если так, то во-первых необходимо оттранслировать адрес сервера 10.0.0.2 в некий внешний адрес (internet-адрес). Ну и во-вторых тот acl, который вы привели вообще не должен дать результата, потому что:
1)на внешний интерфейс пакты приходят от internet адресов на internet адреса, 10.0.0.2 к ним не относится;
2) если фильтровать по адресу назначения 10.0.0.2, то нужно acl вешать на внутренний интерфейс.Если есть возможность выделить серверу отедльный internet адрес, то я бы сделал так:
static (inside,outside) <internet адрес выделенный серверу> 10.0.0.2 netmask 255.255.255.255
access-list 110 permit tcp host x.x.x.XXX host <internet адрес выделенный серверу> eq 10000
access-group 1 in interface outside
Спасибо за отклик по моей теме.
С вариантом транслирования внутреннего адрес во внешний это понятно. Я думал может быть есть возможность не предоставляя внешнего адреса для сервера в ЛВС разрешить к нему доступ только с одного сервера и по одному порту.
Лучше я попытаюсь описать ситуацию... Сервер в Интернет с которым взаимодействую пользователи, сам же он должен обрабатывая запросы этих пользователей соединяться с сервером СУБД расположенный за Cisco ASA (за inside). Не хотелось бы для этой одной задачи выделять отдельный интернетовский адрес.
похожая ситуация:
asa5510 inside 192.168.1.1 outside 195.x.x.x в локалке есть ftp сервер с адресом 192.168.1.2
задача, нужно с интернета передоставить доступ всем к ftp.
для удобства администрирования на асе поднят ssh на обоих интерфейсах.
покапавшись в документации нашел такое решение.
static(inside,outside)195.x.x.x 192.168.1.2 netmask 255.255.255.255
access-list outside_access_in extended permit tcp any 195.x.x.x eq ftp
access-group outside_access_in in interface outside
в таком ваианте даже работает но есть побочный эфект.
нет доступа с наружи к асе по ssh, то есть железяка потерена! надо идти с консолью, или ехать в гости для подключения из нутри!
как этого избежать?хорошо а если надо развить ситуацию:
скажем надо с 195.х.х.х:8080 пробросить на 192.168.1.3:80
как это сделать?
ни кто не, незнает?
>ни кто не, незнает?покажи sh run ssh
>[оверквотинг удален]
>access-group outside_access_in in interface outside
>в таком ваианте даже работает но есть побочный эфект.
>нет доступа с наружи к асе по ssh, то есть железяка потерена!
>надо идти с консолью, или ехать в гости для подключения из
>нутри!
>как этого избежать?
>
>хорошо а если надо развить ситуацию:
>скажем надо с 195.х.х.х:8080 пробросить на 192.168.1.3:80
>как это сделать?так у тебя всё пробрасывается, потому и теряется доступ по ssh
вот примеры
static (inside,outside) tcp interface smtp 192.168.0.10 smtp netmask 255.255.255.255
static (inside,outside) udp interface dnsix 192.168.0.10 dnsix netmask 255.255.255.255
static (inside,outside) tcp interface www 192.168.0.3 www netmask 255.255.255.255
static (inside,outside) tcp interface 81 192.168.0.10 81 netmask 255.255.255.255
static (inside,outside) tcp interface ssh 192.168.0.10 2222 netmask 255.255.255.255
static (inside,outside) tcp interface 4900 192.168.0.30 4899 netmask 255.255.255.255interface <порт> - порт на внешнем у асы
192.168.0.30 <порт> - IP и порт на серваке в локалке
>[оверквотинг удален]
>access-group outside_access_in in interface outside
>в таком ваианте даже работает но есть побочный эфект.
>нет доступа с наружи к асе по ssh, то есть железяка потерена!
>надо идти с консолью, или ехать в гости для подключения из
>нутри!
>как этого избежать?
>
>хорошо а если надо развить ситуацию:
>скажем надо с 195.х.х.х:8080 пробросить на 192.168.1.3:80
>как это сделать?замени static на такую конструкцию:
static(inside,outside)tcp 195.x.x.x 8080 192.168.1.2 80 netmask 255.255.255.255