URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17258
[ Назад ]

Исходное сообщение
"Трансляция на ASA"
Отправлено VladimirX , 29-Сен-08 10:01

Добрый день, уважаемые коллеги!
Задача такая.
Межсетевой экран Cisco ASA5520. Два интерфейса: inside, смотрящий в LAN (192.168.1.0/24), и outside, смотрящий в Интернет (адрес, допустим, 1.1.1.1/28). Настроена статическая трансляция для пользователей, сидящих в инете, такая что адрес 1.1.1.2 (80-й порт) транслируется в один из адресов локалки, 192.168.1.10 (в 80-й порт):
static (inside,outside) tcp 1.1.1.2 80 192.168.1.10 80.
Требуется сделать так, чтобы пользователи в LAN (т.е. обращающиеся к ASA через inside), обращающиеся на 1.1.1.2, прокидывались опять же на inside, на адрес 192.168.1.10.
Возможно ли такое?
Большое спасибо.

Содержание

Трансляция на ASA,djek, 09:46 , 30-Сен-08
Трансляция на ASA,ilya, 13:44 , 30-Сен-08
- Трансляция на ASA,VladimirX, 09:36 , 01-Окт-08

Сообщения в этом обсуждении

"Трансляция на ASA"
Отправлено djek , 30-Сен-08 09:46

вешай веб сервак на dmz интерфейс, и прописывай инспект днс. тогда должно получиться.

"Трансляция на ASA"
Отправлено ilya , 30-Сен-08 13:44

Да. Правда с некоторыми условиями.
Ваш для вашей ситуации тут.
http://www.cisco.com/en/US/products/ps6120/products_configur...
>[оверквотинг удален]
>транслируется в один из адресов локалки, 192.168.1.10 (в 80-й порт):
>static (inside,outside) tcp 1.1.1.2 80 192.168.1.10 80.
>
>Требуется сделать так, чтобы пользователи в LAN (т.е. обращающиеся к ASA через
>inside), обращающиеся на 1.1.1.2, прокидывались опять же на inside, на адрес
>192.168.1.10.
>
>Возможно ли такое?
>
>Большое спасибо.

"Трансляция на ASA"
Отправлено VladimirX , 01-Окт-08 09:36

>[оверквотинг удален]
>>транслируется в один из адресов локалки, 192.168.1.10 (в 80-й порт):
>>static (inside,outside) tcp 1.1.1.2 80 192.168.1.10 80.
>>
>>Требуется сделать так, чтобы пользователи в LAN (т.е. обращающиеся к ASA через
>>inside), обращающиеся на 1.1.1.2, прокидывались опять же на inside, на адрес
>>192.168.1.10.
>>
>>Возможно ли такое?
>>
>>Большое спасибо.
DNS-докторниг это немного не то что нужно. Данная фича исправляет внешний ip (опубликованный адрес) в DNS-ответах на адрес ресурса внутри сети, т.о. обращение компа идет напрямую на внутренний ресурс...
Мне требуется, чтобы не было привязки к DNS, да и даже к www. Т.е. обобщив задачу, требуется чтобы машина внутри сети, обращающаяся на опубликованный внешний ip (по любому протоколу), перенаправлялась внутрь сети на определенный хост.
Может как-нибудь icmp redirect привязать или что-то типа?
Спасибо