- Пропустить весь траффик через ASA, vel, 13:07 , 29-Июл-09 (1)
>[оверквотинг удален] > inspect skinny > inspect sunrpc > inspect xdmcp > inspect sip > inspect netbios > inspect tftp >! >service-policy global_policy global >Cryptochecksum:60838792b0b7f5d4dc6d245532cfd8be >: end Вы для себя сначала определитесь чего вы хотите сделать, а лучше спросить у более опытного коллеги. Если Вы хотите, чтобы вся внутренняя сеть была доступна из вне, то и нефиг ее тогда выводить через NAT. Трафик и так прекрасно пойдет через интерфейс с большим уровнем безопасности на интефейс с меньшим уровнем безопасности. А вот если нужно в обратную сторону, то нужно написать соответсвующий разрешающий список доступа и прилипить его на вход к внешнему интерфейсу. Если Вы хотите, чтобы внутренняя сеть выходила через NAT, а из внешней сети были доступны только некоторые сервера этой внутренней сети при обращении к ним через конкретный ip-адрес внешней сети (и/или по порту), то для этих серверов нужно написать соответсвующий статический NAT, типа static (inside,outside) 10.2.2.61 192.168.4.5 netmask 255.255.255.255 А вообще, не поленитесь скачать руководство с сайта cisco (подойдет и для ASA) и внимательно прочесть, все вопросы отпадут сами собой.
- Пропустить весь траффик через ASA, Vova, 13:15 , 29-Июл-09 (2)
>[оверквотинг удален] >уровнем безопасности. А вот если нужно в обратную сторону, то нужно >написать соответсвующий разрешающий список доступа и прилипить его на вход к >внешнему интерфейсу. >Если Вы хотите, чтобы внутренняя сеть выходила через NAT, а из внешней >сети были доступны только некоторые сервера этой внутренней сети при обращении >к ним через конкретный ip-адрес внешней сети (и/или по порту), то >для этих серверов нужно написать соответсвующий статический NAT, типа static (inside,outside) >10.2.2.61 192.168.4.5 netmask 255.255.255.255 >А вообще, не поленитесь скачать руководство с сайта cisco (подойдет и для >ASA) и внимательно прочесть, все вопросы отпадут сами собой. Мне нужно именно через NAT, потому как в будущем все именно так как вы написали и будет закрываться и доступ будет даваться только на определенные адреса. Просто pix нужно воткнуть чтоб стоял (ну вот такая вот ситуация сложилась) чтоб видели что он стоит, а потом уже буду прописывать доступы.
- Пропустить весь траффик через ASA, vel, 15:24 , 29-Июл-09 (3)
>[оверквотинг удален] >>для этих серверов нужно написать соответсвующий статический NAT, типа static (inside,outside) >>10.2.2.61 192.168.4.5 netmask 255.255.255.255 >>А вообще, не поленитесь скачать руководство с сайта cisco (подойдет и для >>ASA) и внимательно прочесть, все вопросы отпадут сами собой. > >Мне нужно именно через NAT, потому как в будущем все именно так >как вы написали и будет закрываться и доступ будет даваться только >на определенные адреса. Просто pix нужно воткнуть чтоб стоял (ну вот >такая вот ситуация сложилась) чтоб видели что он стоит, а потом >уже буду прописывать доступы. Попробуйте тогда создать разрешаюший расширенный список доступа по ip от any к any и прилепить его на вход к внешнему интерфейсу пикса... может быть заработает... Убедитесь только, что устройства со стороны внешнего интерфейса пикса имеют маршрут в вашу внутреннюю сеть.
- Пропустить весь траффик через ASA, vel, 15:26 , 29-Июл-09 (4)
>[оверквотинг удален] >>Мне нужно именно через NAT, потому как в будущем все именно так >>как вы написали и будет закрываться и доступ будет даваться только >>на определенные адреса. Просто pix нужно воткнуть чтоб стоял (ну вот >>такая вот ситуация сложилась) чтоб видели что он стоит, а потом >>уже буду прописывать доступы. > >Попробуйте тогда создать разрешаюший расширенный список доступа по ip от any к >any и прилепить его на вход к внешнему интерфейсу пикса... может >быть заработает... Убедитесь только, что устройства со стороны внешнего интерфейса пикса >имеют маршрут в вашу внутреннюю сеть. Про маршрут писалось с учетом того, что сеть 10.2.2.0 255.255.0.0 обслуживается Вами, а не каким-нибудь провайдером...
- Пропустить весь траффик через ASA, Vova, 16:01 , 29-Июл-09 (5)
>[оверквотинг удален] >>>такая вот ситуация сложилась) чтоб видели что он стоит, а потом >>>уже буду прописывать доступы. >> >>Попробуйте тогда создать разрешаюший расширенный список доступа по ip от any к >>any и прилепить его на вход к внешнему интерфейсу пикса... может >>быть заработает... Убедитесь только, что устройства со стороны внешнего интерфейса пикса >>имеют маршрут в вашу внутреннюю сеть. > >Про маршрут писалось с учетом того, что сеть 10.2.2.0 255.255.0.0 обслуживается Вами, >а не каким-нибудь провайдером... Вот так сделал: static (inside,outside) 192.168.4.2 192.168.4.2 netmask 255.255.255.255 192.168.4.2 это ip inside сети. Работает.
- Пропустить весь траффик через ASA, vel, 23:29 , 29-Июл-09 (6)
>[оверквотинг удален] >>>быть заработает... Убедитесь только, что устройства со стороны внешнего интерфейса пикса >>>имеют маршрут в вашу внутреннюю сеть. >> >>Про маршрут писалось с учетом того, что сеть 10.2.2.0 255.255.0.0 обслуживается Вами, >>а не каким-нибудь провайдером... > >Вот так сделал: >static (inside,outside) 192.168.4.2 192.168.4.2 netmask 255.255.255.255 > >192.168.4.2 это ip inside сети. Работает. Вы бы все же прочитали официальное руководство. ;) В данном случае, это команда просто отменяет NAT для адреса 192.168.4.2, т.е. данный адрес не транслируется ни в один из адресов 10.2.2.0/16, а выводиться как есть.
|