Всем привет. Понадобилось оградить одну сеть пиксом. Для начала стоит задача чтобы пикс пропускал через себя весь траффик в обе стороны, т.е. в inside сеть и из нее. Выход из inside сети настроил, а вот сделать чтобы она была доступна из других сетей за пиксом не могу. Подскажите плиз как сделать ? Ниже конфиг пикса:

pix# sh run
: Saved
:
ASA Version 7.0(8)
!
hostname pix
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
dns-guard
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.2.2.60 255.255.0.0
!
interface GigabitEthernet0/1
description LAN
nameif inside
security-level 100
ip address 192.168.4.1 255.255.255.0
!
interface GigabitEthernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
ftp mode passive
access-list 1 extended permit ip any any
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu management 1500
no failover
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
access-group 1 in interface outside
route outside 0.0.0.0 0.0.0.0 10.2.0.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet 10.0.0.0 255.0.0.0 inside
telnet timeout 5
ssh 10.0.0.0 255.0.0.0 inside
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd lease 3600
dhcpd ping_timeout 50
dhcpd enable management
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
Cryptochecksum:60838792b0b7f5d4dc6d245532cfd8be
: end

• Пропустить весь траффик через ASA,vel, 13:07 , 29-Июл-09
  • Пропустить весь траффик через ASA,Vova, 13:15 , 29-Июл-09
    • Пропустить весь траффик через ASA,vel, 15:24 , 29-Июл-09
      • Пропустить весь траффик через ASA,vel, 15:26 , 29-Июл-09
        • Пропустить весь траффик через ASA,Vova, 16:01 , 29-Июл-09
          • Пропустить весь траффик через ASA,vel, 23:29 , 29-Июл-09

>[оверквотинг удален]
>  inspect skinny
>  inspect sunrpc
>  inspect xdmcp
>  inspect sip
>  inspect netbios
>  inspect tftp
>!
>service-policy global_policy global
>Cryptochecksum:60838792b0b7f5d4dc6d245532cfd8be
>: end

Вы для себя сначала определитесь чего вы хотите сделать, а лучше спросить у более опытного коллеги.
Если Вы хотите, чтобы вся внутренняя сеть была доступна из вне, то и нефиг ее тогда выводить через NAT. Трафик и так прекрасно пойдет через интерфейс с большим уровнем безопасности на интефейс с меньшим уровнем безопасности. А вот если нужно в обратную сторону, то нужно написать соответсвующий разрешающий список доступа и прилипить его на вход к внешнему интерфейсу.
Если Вы хотите, чтобы внутренняя сеть выходила через NAT, а из внешней сети были доступны только некоторые сервера этой внутренней сети при обращении к ним через конкретный ip-адрес внешней сети (и/или по порту), то для этих серверов нужно написать соответсвующий статический NAT, типа static (inside,outside) 10.2.2.61 192.168.4.5 netmask 255.255.255.255
А вообще, не поленитесь скачать руководство с сайта cisco (подойдет и для ASA) и внимательно прочесть, все вопросы отпадут сами собой.

>[оверквотинг удален]
>уровнем безопасности. А вот если нужно в обратную сторону, то нужно
>написать соответсвующий разрешающий список доступа и прилипить его на вход к
>внешнему интерфейсу.
>Если Вы хотите, чтобы внутренняя сеть выходила через NAT, а из внешней
>сети были доступны только некоторые сервера этой внутренней сети при обращении
>к ним через конкретный ip-адрес внешней сети (и/или по порту), то
>для этих серверов нужно написать соответсвующий статический NAT, типа static (inside,outside)
>10.2.2.61 192.168.4.5 netmask 255.255.255.255
>А вообще, не поленитесь скачать руководство с сайта cisco (подойдет и для
>ASA) и внимательно прочесть, все вопросы отпадут сами собой.

Мне нужно именно через NAT, потому как в будущем все именно так как вы написали и будет закрываться и доступ будет даваться только на определенные адреса. Просто pix нужно воткнуть чтоб стоял (ну вот такая вот ситуация сложилась) чтоб видели что он стоит, а потом уже буду прописывать доступы.

>[оверквотинг удален]
>>для этих серверов нужно написать соответсвующий статический NAT, типа static (inside,outside)
>>10.2.2.61 192.168.4.5 netmask 255.255.255.255
>>А вообще, не поленитесь скачать руководство с сайта cisco (подойдет и для
>>ASA) и внимательно прочесть, все вопросы отпадут сами собой.
>
>Мне нужно именно через NAT, потому как в будущем все именно так
>как вы написали и будет закрываться и доступ будет даваться только
>на определенные адреса. Просто pix нужно воткнуть чтоб стоял (ну вот
>такая вот ситуация сложилась) чтоб видели что он стоит, а потом
>уже буду прописывать доступы.

Попробуйте тогда создать разрешаюший расширенный список доступа по ip от any к any и прилепить его на вход к внешнему интерфейсу пикса... может быть заработает... Убедитесь только, что устройства со стороны внешнего интерфейса пикса имеют маршрут в вашу внутреннюю сеть.

>[оверквотинг удален]
>>Мне нужно именно через NAT, потому как в будущем все именно так
>>как вы написали и будет закрываться и доступ будет даваться только
>>на определенные адреса. Просто pix нужно воткнуть чтоб стоял (ну вот
>>такая вот ситуация сложилась) чтоб видели что он стоит, а потом
>>уже буду прописывать доступы.
>
>Попробуйте тогда создать разрешаюший расширенный список доступа по ip от any к
>any и прилепить его на вход к внешнему интерфейсу пикса... может
>быть заработает... Убедитесь только, что устройства со стороны внешнего интерфейса пикса
>имеют маршрут в вашу внутреннюю сеть.

Про маршрут писалось с учетом того, что сеть 10.2.2.0 255.255.0.0 обслуживается Вами, а не каким-нибудь провайдером...

>[оверквотинг удален]
>>>такая вот ситуация сложилась) чтоб видели что он стоит, а потом
>>>уже буду прописывать доступы.
>>
>>Попробуйте тогда создать разрешаюший расширенный список доступа по ip от any к
>>any и прилепить его на вход к внешнему интерфейсу пикса... может
>>быть заработает... Убедитесь только, что устройства со стороны внешнего интерфейса пикса
>>имеют маршрут в вашу внутреннюю сеть.
>
>Про маршрут писалось с учетом того, что сеть 10.2.2.0 255.255.0.0 обслуживается Вами,
>а не каким-нибудь провайдером...

Вот так сделал:
static (inside,outside) 192.168.4.2 192.168.4.2 netmask 255.255.255.255

192.168.4.2 это ip inside сети. Работает.

>[оверквотинг удален]
>>>быть заработает... Убедитесь только, что устройства со стороны внешнего интерфейса пикса
>>>имеют маршрут в вашу внутреннюю сеть.
>>
>>Про маршрут писалось с учетом того, что сеть 10.2.2.0 255.255.0.0 обслуживается Вами,
>>а не каким-нибудь провайдером...
>
>Вот так сделал:
>static (inside,outside) 192.168.4.2 192.168.4.2 netmask 255.255.255.255
>
>192.168.4.2 это ip inside сети. Работает.

Вы бы все же прочитали официальное руководство. ;)
В данном случае, это команда просто отменяет NAT для адреса 192.168.4.2, т.е. данный адрес не транслируется ни в один из адресов 10.2.2.0/16, а выводиться как есть.