URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19989
[ Назад ]

Исходное сообщение
"Проблемы со static NAT на cisco ASA5505"
Отправлено AleksandrSH , 10-Ноя-09 16:00

Здравствуйте
НА внешнем инетрфейсе асы сеть провайдера с маской /29
у интерфейса адрес ххх,ххх,ххх,18
необходимо сервер находящейся в локальной сети опобликовать на адресе ххх,ххх,ххх,19
пробую сделать как в книжке по аса и пикс
access-list Outside extended permit ip any host ххх,ххх,ххх,19
access-list Outside extended permit icmp any host ххх,ххх,ххх,19
nat (inside) 1 10.200.98.142 255.255.255.255
static (inside,outside) ххх,ххх,ххх,19 10.200.98.142 netmask 255.255.255.255
access-group Outside in interface outside
Собственно после этого ничего не работает
тоесть хост 10.200.98.142 не пингует не один хост в интернете
и из интернета не пингуется адрес ххх,ххх,ххх,19
как мне решить мою проблему ?

Содержание

Проблемы со static NAT на cisco ASA5505,sh_, 17:26 , 10-Ноя-09
- Проблемы со static NAT на cisco ASA5505,AleksandrSH, 10:09 , 11-Ноя-09
Проблемы со static NAT на cisco ASA5505,next333, 09:05 , 12-Ноя-09

Сообщения в этом обсуждении

"Проблемы со static NAT на cisco ASA5505"
Отправлено sh_ , 10-Ноя-09 17:26

no nat (inside) 1 10.200.98.142 255.255.255.255
nat (inside) 1 0.0.0.0 0.0.0.0
global (outside) 1 interface
И покажите sh route и sh run | i access-gr

"Проблемы со static NAT на cisco ASA5505"
Отправлено AleksandrSH , 11-Ноя-09 10:09

>
>no nat (inside) 1 10.200.98.142 255.255.255.255
>nat (inside) 1 0.0.0.0 0.0.0.0
>global (outside) 1 interface
>
>И покажите sh route и sh run | i access-gr
сорри что сразу не написал
nat (inside) 1 0.0.0.0 0.0.0.0 пустит всех в инет через NAT а необходимо только определенные адреса, а все остальные чтоб ходили через прокси сервер
Gateway of last resort is xxx.xxx.xxx.17 to network 0.0.0.0
C    xxx.xxx.xxx.16 255.255.255.248 is directly connected, outside
S    192.168.10.0 255.255.255.0 [1/0] via 10.200.96.1, inside
S    172.16.0.0 255.255.255.0 [1/0] via xxx.xxx.xxx.17, outside
S    172.16.100.0 255.255.252.0 [1/0] via xxx.xxx.xxx.17, outside
C    127.0.0.0 255.255.255.0 is directly connected, _internal_loopback
S    10.200.98.0 255.255.255.0 [1/0] via 10.200.96.1, inside
C    10.200.96.0 255.255.255.0 is directly connected, inside
S    10.200.97.0 255.255.255.0 [1/0] via 10.200.96.1, inside
S    192.168.0.0 255.255.255.0 [1/0] via 10.200.96.1, inside
S    192.168.2.0 255.255.255.0 [1/0] xxx.xxx.xxx.17, outside
S*   0.0.0.0 0.0.0.0 [1/0] via xxx.xxx.xxx.17, outside
sh run | i access-group
access-group Inside in interface inside
access-group Outside in interface outside
access-list Inside extended permit ip any any
access-list Inside extended permit icmp any any
access-list Outside extended permit ip any host xxx.xxx.xxx.19
access-list Outside extended permit icmp any host xxx.xxx.xxx.19

"Проблемы со static NAT на cisco ASA5505"
Отправлено next333 , 12-Ноя-09 09:05

Можно Policy NAT настроить: сделай список доступа, в котором будут те, кого нужно пускать в обход прокси.
access-list NO_PROXY permit ...
global (outside) 1 interface
nat (inside) 1 access-list NO_PROXY
static (inside,outside) ххх.ххх.ххх.19 10.200.98.142 netmask 255.255.255.255