URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18926
[ Назад ]

Исходное сообщение
"ASA и небольшой вопросик по NAT"
Отправлено 4ufet , 22-Май-09 19:58

Доброе время суток!
Вопросик простой. С ASA'ой никогда раньше не имел дел, поэтому хотелось бы уточнить кое-какие моменты, т.к. проверить сейчас не представляется возможным.
1. Допустим есть 2 порта, условно inside и outside. Допустим, что у inside сетка 192.168.1.0/24, а у самого порта адрес 192.168.1.1. Допустим, что у outside сетка 172.16.1.0/24, а у самого порта адрес 172.16.1.1.
Для пары серверов в inside прописан статический нат, по типу:
static (inside,outside) 172.16.1.15 192.168.1.5 netmask 255.255.255.255
static (inside,outside) 172.16.1.20 192.168.1.10 netmask 255.255.255.255
Нужно, чтобы хосты из внешней сети могли сами инициировать запросы к этим серверам по адресам 172.16.1.15 и 172.16.1.20.
Что для этого нужно?
Достаточно ли будет прописать на внешнем интерфейсе такой список доступа:
access-list SERV extended permit ip any host 172.16.1.20
access-list SERV extended permit ip any host 172.16.1.15
???
или надо еще прописать обратный нат по типу:
static (outside,inside) 192.168.1.5 172.16.1.15 netmask 255.255.255.255
static (outside,inside) 192.168.1.10 172.16.1.20 netmask 255.255.255.255
???
2. Будет ли команда
static (inside,spb&internet) tcp 172.16.1.15 www 192.168.1.5 www netmask 255.255.255.255
принципиально отличаться от команд static, указынных в п.1. в смысле изменения места положения источника и адресата? Или она просто отличается тем, что тут разрешается нат только при использовании WWW, а п.1. натится по всем портам?
Заранее благодарен.
С уважнием!

Содержание

ASA и небольшой вопросик по NAT,sh_, 10:04 , 25-Май-09

Сообщения в этом обсуждении

"ASA и небольшой вопросик по NAT"
Отправлено sh_ , 25-Май-09 10:04

>[оверквотинг удален]
>Для пары серверов в inside прописан статический нат, по типу:
>static (inside,outside) 172.16.1.15 192.168.1.5 netmask 255.255.255.255
>static (inside,outside) 172.16.1.20 192.168.1.10 netmask 255.255.255.255
>Нужно, чтобы хосты из внешней сети могли сами инициировать запросы к этим
>серверам по адресам 172.16.1.15 и 172.16.1.20.
>Что для этого нужно?
>Достаточно ли будет прописать на внешнем интерфейсе такой список доступа:
>access-list SERV extended permit ip any host 172.16.1.20
>access-list SERV extended permit ip any host 172.16.1.15
>???
Достаточно

>2. Будет ли команда
>static (inside,spb&internet) tcp 172.16.1.15 www 192.168.1.5 www netmask 255.255.255.255
>принципиально отличаться от команд static, указынных в п.1. в смысле изменения места
>положения источника и адресата?
Нет. Не будет.