The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
asa(pix) переадресация пакетов, !*! OVDP, 26-Апр-06, 13:30  [смотреть все]
уважаемые! помогите советом.

есть asa(pix). на ней стоит NAT для выхода в инет. на порт прилетают пакеты от разных посетей, замечательно натятся и выходят в инет. но стала задача что бы эти разные подсети могли общаться между собой. ВОПРОС: можно ли на PIX сделать это и как? то есть пакетики должны заварачиваться на PIX. если что то не понятно обрисовал, то пишите

Ответить | Сообщить модератору
  • asa(pix) переадресация пакетов, !*! sh_, 13:45 , 26-Апр-06 (1)
    Ну пропускай их без ната из одной подсети в другую... Вопрос не очень понятен...
    Ответить | Сообщить модератору
    • asa(pix) переадресация пакетов, !*! OVDP, 14:02 , 26-Апр-06 (2)
      >Ну пропускай их без ната из одной подсети в другую... Вопрос не
      >очень понятен...

      немного не понял ответ :(

      заковырка в том что обе подсети находятся за INSIDE интерфейсом. а правила отключающие нат работают (если я не прав то поправте) когда с одного интерфейса на другой.
      запускаю пинг :работает на все направления кроме как между этими подсетями. :(
      pix пишет что
      106014: Deny inbound icmp src inside:172.16.1.2 dst inside:172.16.9.2 (type 8, code 0)

      Ответить | Сообщить модератору
      • asa(pix) переадресация пакетов, !*! sh_, 15:03 , 26-Апр-06 (3)
        так не получится... каждая сеть должна находиться за своим интерфейсом...
        Ответить | Сообщить модератору
      • asa(pix) переадресация пакетов, !*! Черный Кот, 14:15 , 10-Авг-07 (5)
        Да не, на самом деле все получится, если:

        1. Прописать
        #same-security-traffic permit intra-interface
        (Что означает enable traffic between two or more hosts connected to the same interface)

        2. Исключить трафик МЕЖДУ локальными внутренними сетками из правила внешнего NAT,  ведущего в Инет при помощи access-list`ов (NAT Exempt Rule)

        3. На маршрутизаторах (или свичах) внутренней сети, которые ведут к другим локальным сеткам необходимо прописать принудительное правило маршрутизации всего диаппазона внутренней сети непосредственно на внутренний IP интерфейса CISCO

        И да увидят сети друг-друга... ;-)

        Ответить | Сообщить модератору
        • asa(pix) переадресация пакетов, !*! neet, 06:35 , 03-Июн-11 (6)
          >[оверквотинг удален]
          > 1. Прописать
          > #same-security-traffic permit intra-interface
          > (Что означает enable traffic between two or more hosts connected to the
          > same interface)
          > 2. Исключить трафик МЕЖДУ локальными внутренними сетками из правила внешнего NAT,  
          > ведущего в Инет при помощи access-list`ов (NAT Exempt Rule)
          > 3. На маршрутизаторах (или свичах) внутренней сети, которые ведут к другим локальным
          > сеткам необходимо прописать принудительное правило маршрутизации всего диаппазона внутренней
          > сети непосредственно на внутренний IP интерфейса CISCO
          > И да увидят сети друг-друга... ;-)

          У меня такая же проблема как у автора(две подсети за одним интерфейсом).
          Настроил все как вы посоветовали. После этого ICMP трафик между подсетями ходит, компы пингуют друг друга, но ВСЕ остальное по прежнему не работает (не открываются общие папки, вебсервера и пр.)... т.е. почему-то работает только ICMP...
          Посоветуйте в какую сторону можно покопать, чтобы заработало все.

          Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру