URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 683
[ Назад ]

Исходное сообщение
"DMZ to INSIDE на Cisco ASA"
Отправлено Vova , 12-Апр-13 11:24

Всем привет. Есть ASA 5520, выделяет ДМЗ сеть и локалку. Понадобилось из ДМЗ открыть доступ к некоторым серверам в локалке. В принципе инфы много, но чёйта никакой способ не работает. Делал в частности как описано тут: http://www.firewall.cx/forum/10-firewall-filtering-idsips-a-...
разными способами - результат нулевой. Подскажите плиз, что не так ?
Вот конфиг:
!
interface GigabitEthernet0/1
description DMZ LAN
nameif dmz
security-level 50
ip address 172.16.0.1 255.255.0.0
!
interface GigabitEthernet0/2
description LAN
nameif inside
security-level 100
ip address 192.168.111.167 255.255.255.0
!
access-list 1 extended permit ip any any
access-list no_nat_dmz extended permit ip 172.16.0.0 255.255.0.0 192.168.111.0 255.255.255.0
nat (dmz) 0 access-list no_nat_dmz
access-group 1 in interface dmz
access-group 1 out interface dmz

Содержание

DMZ to INSIDE на Cisco ASA,Vova, 14:27 , 12-Апр-13
- DMZ to INSIDE на Cisco ASA,Vova, 20:40 , 12-Апр-13
DMZ to INSIDE на Cisco ASA,sTALK_specTrum, 01:38 , 14-Апр-13

Сообщения в этом обсуждении

"DMZ to INSIDE на Cisco ASA"
Отправлено Vova , 12-Апр-13 14:27

>[оверквотинг удален]
>  description LAN
>  nameif inside
>  security-level 100
>  ip address 192.168.111.167 255.255.255.0
> !
> access-list 1 extended permit ip any any
> access-list no_nat_dmz extended permit ip 172.16.0.0 255.255.0.0 192.168.111.0 255.255.255.0
> nat (dmz) 0 access-list no_nat_dmz
> access-group 1 in interface dmz
> access-group 1 out interface dmz
пока вышел из положения при помощи static nat:
static (dmz,inside) 192.168.111.74 172.16.0.116 netmask 255.255.255.255
но хотелось бы без трансляции, т.к. возможно еще придется открывать доступы. Или это единственный выход ?

"DMZ to INSIDE на Cisco ASA"
Отправлено Vova , 12-Апр-13 20:40

>[оверквотинг удален]
>> !
>> access-list 1 extended permit ip any any
>> access-list no_nat_dmz extended permit ip 172.16.0.0 255.255.0.0 192.168.111.0 255.255.255.0
>> nat (dmz) 0 access-list no_nat_dmz
>> access-group 1 in interface dmz
>> access-group 1 out interface dmz
> пока вышел из положения при помощи static nat:
> static (dmz,inside) 192.168.111.74 172.16.0.116 netmask 255.255.255.255
> но хотелось бы без трансляции, т.к. возможно еще придется открывать доступы. Или
> это единственный выход ?
Проблема решена:
global (inside) 3 192.168.111.75
nat (dmz) 3 172.16.0.0 255.255.0.0 outside

"DMZ to INSIDE на Cisco ASA"
Отправлено sTALK_specTrum , 14-Апр-13 01:38

Достаточно было поправить
nat (dmz) 0 access-list no_nat_dmz outside