URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 15725
[ Назад ]

Исходное сообщение
"Cisco ASA 5510 организация соединения из outside в inside"

Отправлено bardak , 11-Мрт-08 09:40 
Добрый день. Есть Cisco ASA 5510 у которой к интерфейсу inside подключена ЛВС (10.0.0.0.24), а к интерфейсу outside сеть с реальными Интернет адресами (x.x.x.x/28) в этой сети есть сервер (IP - x.x.x.XXX) который должен соединяться с сервером СУБД в ЛВС (IP - 10.0.0.2/24, port 10000). Подскажите как организовать такое взаимодействие.
Пробовал создать лист доступа с разрешением для данного соединения и привязал его к outside интерфейсу, но не помогло...
ciscoasa(config)# access-list 110 extended permit tcp host x.x.x.XXX host 10.0.0.2 eq 10000
ciscoasa(config)# access-group 110 in interface outside

Содержание

Сообщения в этом обсуждении
"Cisco ASA 5510 организация соединения из outside в inside"
Отправлено chocholl , 11-Мрт-08 10:02 
>Добрый день. Есть Cisco ASA 5510 у которой к интерфейсу inside подключена
>ЛВС (10.0.0.0.24), а к интерфейсу outside сеть с реальными Интернет адресами
>(x.x.x.x/28) в этой сети есть сервер (IP - x.x.x.XXX) который должен
>соединяться с сервером СУБД в ЛВС (IP - 10.0.0.2/24, port 10000).
>Подскажите как организовать такое взаимодействие.
>Пробовал создать лист доступа с разрешением для данного соединения и привязал его
>к outside интерфейсу, но не помогло...
>ciscoasa(config)# access-list 110 extended permit tcp host x.x.x.XXX host 10.0.0.2 eq 10000
>
>ciscoasa(config)# access-group 110 in interface outside

если аса делает нат, то нужно чтобы соединение инициируемое сервером в лок. сети. под нат не попадало.



"Cisco ASA 5510 организация соединения из outside в inside"
Отправлено bardak , 11-Мрт-08 10:05 
>если аса делает нат, то нужно чтобы соединение инициируемое сервером в лок.
>сети. под нат не попадало.

Если не трудно, поподробней... или в примере..


"Cisco ASA 5510 организация соединения из outside в inside"
Отправлено bardak , 11-Мрт-08 10:28 
>>если аса делает нат, то нужно чтобы соединение инициируемое сервером в лок.
>>сети. под нат не попадало.

Получается ситуация, что сервер из Интернета (outside интерфейс) инициирует соединение с сервером в ЛВС...



"Cisco ASA 5510 организация соединения из outside в inside"
Отправлено bardak , 12-Мрт-08 14:24 
А-у-у-у....
Кто знает, подскажите пожалуйста...



"Cisco ASA 5510 организация соединения из outside в inside"
Отправлено intellegent , 13-Мрт-08 11:23 
Правильно ли я понял, что есть потребность дать доступ узлам извне (internet) к локальному ресурсу? Если так, то во-первых необходимо оттранслировать адрес сервера 10.0.0.2 в некий внешний адрес (internet-адрес). Ну и во-вторых тот acl, который вы привели вообще не должен дать результата, потому что:
1)на внешний интерфейс пакты приходят от internet адресов на internet адреса, 10.0.0.2 к ним не относится;
2) если фильтровать по адресу назначения 10.0.0.2, то нужно acl вешать на внутренний интерфейс.

Если есть возможность выделить серверу отедльный internet адрес, то я бы сделал так:

static (inside,outside) <internet адрес выделенный серверу> 10.0.0.2 netmask 255.255.255.255
access-list 110 permit tcp host x.x.x.XXX host <internet адрес выделенный серверу> eq 10000
access-group 1 in interface outside



"Cisco ASA 5510 организация соединения из outside в inside"
Отправлено bardak , 13-Мрт-08 14:35 
Спасибо за отклик по моей теме.
С вариантом транслирования внутреннего адрес во внешний это понятно. Я думал может быть есть возможность не предоставляя внешнего адреса для сервера в ЛВС разрешить к нему доступ только с одного сервера и по одному порту.
Лучше я попытаюсь описать ситуацию... Сервер в Интернет с которым взаимодействую пользователи, сам же он должен обрабатывая запросы этих пользователей соединяться с сервером СУБД расположенный за Cisco ASA (за inside). Не хотелось бы для этой одной задачи выделять отдельный интернетовский адрес.  



"Cisco ASA 5510 организация соединения из outside в inside"
Отправлено djek , 13-Мрт-08 21:50 
похожая ситуация:
asa5510 inside 192.168.1.1 outside 195.x.x.x в локалке есть ftp сервер с адресом 192.168.1.2
задача, нужно с интернета передоставить доступ всем к ftp.
для удобства администрирования на асе поднят ssh  на обоих интерфейсах.
покапавшись в документации нашел такое решение.
static(inside,outside)195.x.x.x 192.168.1.2 netmask 255.255.255.255
access-list outside_access_in extended permit tcp any 195.x.x.x eq ftp
access-group outside_access_in in interface outside
в таком ваианте даже работает но есть побочный эфект.
нет доступа с наружи к асе по ssh, то есть железяка потерена! надо идти с консолью, или ехать в гости для подключения из нутри!
как этого избежать?

хорошо а если надо развить ситуацию:
скажем надо с 195.х.х.х:8080 пробросить на 192.168.1.3:80
как это сделать?


"Cisco ASA 5510 организация соединения из outside в inside"
Отправлено djek , 14-Мрт-08 14:40 
ни кто не, незнает?



"Cisco ASA 5510 организация соединения из outside в inside"
Отправлено ragent , 17-Мрт-08 08:23 
>ни кто не, незнает?

покажи sh run ssh


"Cisco ASA 5510 организация соединения из outside в inside"
Отправлено MoBilka , 16-Мрт-08 02:03 
>[оверквотинг удален]
>access-group outside_access_in in interface outside
>в таком ваианте даже работает но есть побочный эфект.
>нет доступа с наружи к асе по ssh, то есть железяка потерена!
>надо идти с консолью, или ехать в гости для подключения из
>нутри!
>как этого избежать?
>
>хорошо а если надо развить ситуацию:
>скажем надо с 195.х.х.х:8080 пробросить на 192.168.1.3:80
>как это сделать?

так у тебя всё пробрасывается, потому и теряется доступ по ssh
вот примеры
static (inside,outside) tcp interface smtp 192.168.0.10 smtp netmask 255.255.255.255
static (inside,outside) udp interface dnsix 192.168.0.10 dnsix netmask 255.255.255.255
static (inside,outside) tcp interface www 192.168.0.3 www netmask 255.255.255.255
static (inside,outside) tcp interface 81 192.168.0.10 81 netmask 255.255.255.255
static (inside,outside) tcp interface ssh 192.168.0.10 2222 netmask 255.255.255.255
static (inside,outside) tcp interface 4900 192.168.0.30 4899 netmask 255.255.255.255

interface <порт> - порт на внешнем у асы
192.168.0.30 <порт> - IP и порт на серваке в локалке


"Cisco ASA 5510 организация соединения из outside в inside"
Отправлено ragent , 17-Мрт-08 08:26 
>[оверквотинг удален]
>access-group outside_access_in in interface outside
>в таком ваианте даже работает но есть побочный эфект.
>нет доступа с наружи к асе по ssh, то есть железяка потерена!
>надо идти с консолью, или ехать в гости для подключения из
>нутри!
>как этого избежать?
>
>хорошо а если надо развить ситуацию:
>скажем надо с 195.х.х.х:8080 пробросить на 192.168.1.3:80
>как это сделать?

замени static на такую конструкцию:
static(inside,outside)tcp 195.x.x.x 8080 192.168.1.2 80 netmask 255.255.255.255