Доброе время суток!
Вопросик простой. С ASA'ой никогда раньше не имел дел, поэтому хотелось бы уточнить кое-какие моменты, т.к. проверить сейчас не представляется возможным.

1. Допустим есть 2 порта, условно inside и outside. Допустим, что у inside сетка 192.168.1.0/24, а у самого порта адрес 192.168.1.1. Допустим, что у outside сетка 172.16.1.0/24, а у самого порта адрес 172.16.1.1.
Для пары серверов в inside прописан статический нат, по типу:
static (inside,outside) 172.16.1.15 192.168.1.5 netmask 255.255.255.255
static (inside,outside) 172.16.1.20 192.168.1.10 netmask 255.255.255.255
Нужно, чтобы хосты из внешней сети могли сами инициировать запросы к этим серверам по адресам 172.16.1.15 и 172.16.1.20.
Что для этого нужно?
Достаточно ли будет прописать на внешнем интерфейсе такой список доступа:
access-list SERV extended permit ip any host 172.16.1.20
access-list SERV extended permit ip any host 172.16.1.15
???
или надо еще прописать обратный нат по типу:
static (outside,inside) 192.168.1.5 172.16.1.15 netmask 255.255.255.255
static (outside,inside) 192.168.1.10 172.16.1.20 netmask 255.255.255.255
???

2. Будет ли команда
static (inside,spb&internet) tcp 172.16.1.15 www 192.168.1.5 www netmask 255.255.255.255
принципиально отличаться от команд static, указынных в п.1. в смысле изменения места положения источника и адресата? Или она просто отличается тем, что тут разрешается нат только при использовании WWW, а п.1. натится по всем портам?

Заранее благодарен.
С уважнием!