Добрый день, не могу понять как правильно организовать следующую схему:
вся сеть 192.168.1.0/24 ходит в инет через X.X.X.2,
но есть почтовый сервер и ему надо выходить в инет через адрес X.X.X.3
У меня только одна мысль порезать по VLANам и интерфейсы привязать к разным правилам ip nat .. но может это как то более элегантно делается ?

interface GigabitEthernet0/0
ip address X.X.X.3 255.255.255.248 secondary
ip address X.X.X.2 255.255.255.248
ip nat outside

interface GigabitEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip route-cache

ip route 0.0.0.0 0.0.0.0 X.X.X.1

ip nat inside source list 1 interface GigabitEthernet0/0 overload
ip nat inside source static tcp 192.168.1.10 25 X.X.X.3 25 extendable

access-list 1 permit 192.168.1.0 0.0.0.255

• Как правильно настроить NAT,Merridius, 15:56 , 27-Авг-15
  • Как правильно настроить NAT,Сергей, 07:35 , 28-Авг-15
• Как правильно настроить NAT,ShyLion, 07:43 , 28-Авг-15
  • Как правильно настроить NAT,ShyLion, 07:44 , 28-Авг-15
  • Как правильно настроить NAT,Сергей, 11:46 , 28-Авг-15
    • Как правильно настроить NAT,ShyLion, 14:34 , 28-Авг-15
      • Как правильно настроить NAT,Сергей, 10:08 , 30-Авг-15

>[оверквотинг удален]
>  ip nat outside
> interface GigabitEthernet0/1
>  ip address 192.168.1.1 255.255.255.0
>  ip nat inside
>  ip virtual-reassembly
>  no ip route-cache
> ip route 0.0.0.0 0.0.0.0 X.X.X.1
> ip nat inside source list 1 interface GigabitEthernet0/0 overload
> ip nat inside source static tcp 192.168.1.10 25 X.X.X.3 25 extendable
> access-list 1 permit 192.168.1.0 0.0.0.255

Правильно будет отправить сервера в DMZ.
Организовать ее можно с помощью ZBPF и VLAN.

> Правильно будет отправить сервера в DMZ.
> Организовать ее можно с помощью ZBPF и VLAN.

За ZBPF .. спасибо .. вообще считал, что зоны можно использовать только на ASA
но предлагаю вернуться к "нашим баранам" ..
пусть
1. сеть 192.168.1.0/24 DMZ
2. Сервер 192.168.1.2 Proxy
3. Сервер 192.168.1.3 MTA
4. Есть правило access-list 1 permit host 192.168.1.2
4. Есть правило access-list 2 permit host 192.168.1.3

Как можно запустить чтобы правило с ACL 1 ходил через IP X.X.X.2, а правило с ACL 2 ходил через IP X.X.X.3 ?

> interface GigabitEthernet0/0
>  ip address X.X.X.3 255.255.255.248 secondary

это лишнее

> ip nat inside source list 1 interface GigabitEthernet0/0 overload
> ip nat inside source static 192.168.1.10 X.X.X.3 extendable

Обязательно настроить ZBFW
или входящий аксес-лист повесить на Gi0/0, разрешающий только нужный траффик на адрес X.X.X.3
или нормально настроить фаервол на 192.168.1.10 словно он в инете напрямую.

Заготовка для  ZBFW

ip inspect log drop-pkt
zone security LAN
zone security INET
object-group service IPSEC 
 esp
 ahp
 udp eq isakmp
 udp eq non500-isakmp
 gre
object-group service good_ICMP
 icmp echo
 icmp echo-reply
 icmp parameter-problem
 icmp unreachable
 icmp source-quench
 icmp traceroute
 icmp time-exceeded
ip access-list extended zbfc_ICMP
 permit object-group good_ICMP any any
class-map type inspect match-any zbfc_ICMP
 match access-group name zbfc_ICMP
ip access-list extended zbfc_IPSEC
 permit object-group IPSEC any any

class-map type inspect match-any zbfc_IPSEC
 match access-group name zbfc_IPSEC
class-map type inspect match-any zbfc_INET_IN_SELF
 match protocol ssh
 match protocol ntp
policy-map type inspect zbfp_INET2LAN
 class class-default
  drop
policy-map type inspect zbfp_INET2SELF
 class zbfc_INET_IN_SELF
  pass
 class zbfc_IPSEC
  pass
 class zbfc_ICMP
  pass
class-map type inspect match-any zbfc_DROP_OUT
 match protocol bittorrent
 match protocol pptp
 match protocol l2tp
!
class-map type inspect match-any zbfc_INSPECT_OUT
 match protocol ftp
 match protocol tcp
 match protocol udp
 match protocol icmp
policy-map type inspect zbfp_LAN2INET
 class zbfc_DROP_OUT
  drop log
 class zbfc_INSPECT_OUT
  inspect
 class class-default
  pass
zone-pair security zp_INET2LAN source INET destination LAN
 service-policy type inspect zbfp_INET2LAN
zone-pair security zp_INET2SELF source INET destination self
 service-policy type inspect zbfp_INET2SELF
zone-pair security zp_LAN2INET source LAN destination INET
 service-policy type inspect zbfp_LAN2INET
! interface Vlan1
!  zone-member security LAN
! interface TunXX
!  zone-member security LAN
! interface Dial1
!  zone-member security INET

Если нужно пропускать входящий траффик из зоны INET в зону LAN, то нужно создать класс и добавить в соответствующий полиси-мап. В правилах класса адрес дестинейшена внурти использовать внутренний, так как ZBFW работает после трансляции адреса.

>>  ip address X.X.X.3 255.255.255.248 secondary
> это лишнее

если уберу, как будут работать подключение IN/OUT с адреса x.x.x.3 ??

> или входящий аксес-лист повесить на Gi0/0, разрешающий только нужный траффик на адрес
> X.X.X.3

прощу прощения, может что то я не понял.

есть блок адресов, хочу чтобы исходящий внешний трафик был с разных IP адресов (прокси один, почта, другой и т.д.)
Задачу с входящим трафиком решил так:
ip nat inside source static tcp 192.168.1.10 25 X.X.X.3 25 extendable

Исходящий трафик задан правилом:
ip nat inside source list 1 interface GigabitEthernet0/0 overload
но все улетает с адреса х.х.х.2, а мне надо чтобы для почты исходящий адрес был: х.х.х.3, а для всего остального х.2

> но все улетает с адреса х.х.х.2, а мне надо чтобы для почты
> исходящий адрес был: х.х.х.3, а для всего остального х.2

с моим примером хост .10 будет в инет ходить с адреса х.х.х.3
и обращения с инета на адрес х.х.х.3 будут перекидываться на хост .10

назначать х.х.х.3 на интерфейс не нужно, роутер и так будет отвечать на ARP запросы этого адреса. Когда назначаешь IP на интерфейс роутера, он на этом IP еще и свой control plane подключает, что чаще всего не надо и даже вредно.
Лучший вариант вообще для ната использовать адреса, отличные от адреса интерфейса, с использованием пула. Тогда control plane отдельно, а пользовательский траффик отдельно.

ОК .. буду пробовать
Спасибо, за подробный ответ.