форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Asa, NAT "

Сообщение от Владимир (??) on 21-Апр-08, 15:14

Добрый день. Есть аса, которая одним интерфейсом смотрит в дмз (сеть 192.168.254.184), в которой находится сервер 192.168.254.186, другим интерфейсом - в локальную сеть. Есть необходимость доступаться к серверу из одних сетей (перечисленных в object-group TEMP)через нат (адрес 172.16.8.177 ), из других-без ната. Соответсвенно, на определенные сети нужно выходить с натом, на другие - без. Например, с сервера  192.168.254.186 в сеть 192.168.254.184 нужно идти без ната. Подскажите, пожалуйста, наболее рациональное решение. На данный момент такие настройки: access-list Nat extended permit ip host 192.168.254.186 object-group TEMP access-list NoNAT extended permit ip 192.168.254.184 255.255.255.248 10.5.254.160 255.255.255.248 static (dmz,router) 172.16.8.177  access-list Nat static (dmz,router) 192.168.254.184  access-list NoNAT Какие недостатки может иметь существующее решение?

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Asa, NAT "

Сообщение от chocholl (??) on 21-Апр-08, 21:01

у асы же есть комманда nat 0, специально для таких случаев.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Asa, NAT "

Сообщение от gagner on 23-Апр-08, 21:12

как-нибудь так: nat (dmz) 0 access-list NoNAT static (dmz,router) 172.16.8.177  access-list Nat access-list NoNAT extended permit ip [сеть, откуда идем без ната] host 192.168.254.186 access-list Nat extended permit ip host 192.168.254.186 object-group TEMP вообще, 192.168.254.186 находится в сети 192.168.254.184/29... Вы уверены, что аса причастна к "с сервера  192.168.254.186 в сеть 192.168.254.184 нужно идти без ната" ? ))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Asa, NAT "
	Сообщение от Владимир (??) on 24-Апр-08, 10:26
	>[оверквотинг удален] >static (dmz,router) 172.16.8.177  access-list Nat > >access-list NoNAT extended permit ip [сеть, откуда идем без ната] host 192.168.254.186 > >access-list Nat extended permit ip host 192.168.254.186 object-group TEMP > > >вообще, 192.168.254.186 находится в сети 192.168.254.184/29... Вы уверены, что аса причастна к >"с сервера  192.168.254.186 в сеть 192.168.254.184 нужно идти без ната" >? )) :) Думал о сети 10.5.254.160 /29, написал другую - 192.168.254.184/29
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]