The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
" CISCO ASA 5510 пробросить порт из WAN в LAN"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

" CISCO ASA 5510 пробросить порт из WAN в LAN"  +/
Сообщение от AlexeyI (ok) on 15-Июл-09, 15:28 
Доброго времени дня. Понадобилось пробросить несколько портов из инета в локалку.
Знающие люди посоветовали команду вида
ip nat inside source static tcp куда порт с_чего порт extendable
Однако она почему-то не работает =\

Вот конфиг циски:
ciscoasa(config)# sh run
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
names
dns-guard
!
interface Ethernet0/0
nameif WAN
security-level 0
ip address xxx.xxx.xxx.xxx 255.255.255.224
!
interface Ethernet0/1
no nameif
no security-level
no ip address
!
interface Ethernet0/1.11
vlan 11
nameif LAN1
security-level 100
ip address 192.168.1.254 255.255.255.0
!
interface Ethernet0/1.12
vlan 12
nameif LAN2
security-level 100
ip address 192.168.2.254 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif Management
security-level 100
ip address 192.168.10.1 255.255.255.0
management-only
!
boot system disk0:/asa802-k8.bin
ftp mode passive
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list WAN_access_in extended permit object-group TCPUDP any host xxx.xxx.xxx.xxx eq www
access-list LAN1_access_in extended permit ip host xxx.xxx.xxx.xxx host 192.168.1.12
access-list LAN1_access_in extended permit ip any any
pager lines 24
logging enable
logging asdm notifications
mtu WAN 1500
mtu LAN1 1500
mtu LAN2 1500
mtu Management 1500
icmp unreachable rate-limit 1 burst-size 1
icmp permit any WAN
asdm image disk0:/asdm-611.bin
no asdm history enable
arp timeout 14400
global (WAN) 101 interface
global (WAN) 102 xxx.xxx.xxx.yyy
nat (LAN1) 101 192.168.1.0 255.255.255.0
nat (LAN2) 102 192.168.2.0 255.255.255.0
static (WAN,LAN1) tcp 192.168.1.12 www xxx.xxx.xxx.xxx www netmask 255.255.255.255
access-group WAN_access_in in interface WAN
access-group LAN1_access_in in interface LAN1
route WAN 0.0.0.0 0.0.0.0 xxx.xxx.xxx.zzz 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.10.0 255.255.255.0 Management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no service resetoutbound interface WAN
: end

Надо чтобы с внешнего адреса xxx.xxx.xxx.xxx транслировался 80 порт в локалку на адрес 192.168.1.12
На данном этапе пишет следующую ошибку в логах:
TCP access denied by ACL from REMOTE_IP/3653 to WAN:WAN_IP/80
Где я не докрутил?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. " CISCO ASA 5510 пробросить порт из WAN в LAN"  +/
Сообщение от huk on 15-Июл-09, 17:04 
>[оверквотинг удален]
>no snmp-server contact
>snmp-server enable traps snmp authentication linkup linkdown coldstart
>no service resetoutbound interface WAN
>: end
>
>Надо чтобы с внешнего адреса xxx.xxx.xxx.xxx транслировался 80 порт в локалку на
>адрес 192.168.1.12
>На данном этапе пишет следующую ошибку в логах:
>TCP access denied by ACL from REMOTE_IP/3653 to WAN:WAN_IP/80
>Где я не докрутил?

Неправильная команда static и кривые списки доступа.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. " CISCO ASA 5510 пробросить порт из WAN в LAN"  +/
Сообщение от huk on 15-Июл-09, 17:12 
>[оверквотинг удален]
>>no service resetoutbound interface WAN
>>: end
>>
>>Надо чтобы с внешнего адреса xxx.xxx.xxx.xxx транслировался 80 порт в локалку на
>>адрес 192.168.1.12
>>На данном этапе пишет следующую ошибку в логах:
>>TCP access denied by ACL from REMOTE_IP/3653 to WAN:WAN_IP/80
>>Где я не докрутил?
>
>Неправильная команда static и кривые списки доступа.

Должно быть нечто типа такого:

static (inside,outside) tcp <внутренний ip-адрес компьютера> 80 <ip-адрес, под которым компьютер будет доступен с интернета> 80 netmask 255.255.255.255

Список доступа на внешнем интерфейсе должен либо разрешать все, либо если есть какие-то ограничение, то должен быть типа такого:
access-list <название списка доступа> extended permit tcp any <ip-адрес, под которым компьютер будет доступен с интернета> eq www

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. " CISCO ASA 5510 пробросить порт из WAN в LAN"  +/
Сообщение от huk on 15-Июл-09, 17:18 
>[оверквотинг удален]
>>
>>Неправильная команда static и кривые списки доступа.
>
>Должно быть нечто типа такого:
>
>static (inside,outside) tcp <внутренний ip-адрес компьютера> 80 <ip-адрес, под которым компьютер будет доступен с интернета> 80 netmask 255.255.255.255
>
>Список доступа на внешнем интерфейсе должен либо разрешать все, либо если есть
>какие-то ограничение, то должен быть типа такого:
>access-list <название списка доступа> extended permit tcp any <ip-адрес, под которым компьютер будет доступен с интернета> eq www

Что касается прохождения трафика со стороны интерфейса с security-level 100 на интерфейс с security-level 0, то весь трафик с интерфейса большей безопасностью на интерфейс с меньшей безопасностью по-умолчанию разрешен. Если хотите применять какие-то списки доступа на внутреннем интерфейсе, то должно быть нечто типа такого:
access-list <название списка доступа> extended permit tcp <внутренний ip-адрес компьютера> any eq www

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. " CISCO ASA 5510 пробросить порт из WAN в LAN"  +/
Сообщение от huk on 15-Июл-09, 17:20 
>[оверквотинг удален]
>>
>>Неправильная команда static и кривые списки доступа.
>
>Должно быть нечто типа такого:
>
>static (inside,outside) tcp <внутренний ip-адрес компьютера> 80 <ip-адрес, под которым компьютер будет доступен с интернета> 80 netmask 255.255.255.255
>
>Список доступа на внешнем интерфейсе должен либо разрешать все, либо если есть
>какие-то ограничение, то должен быть типа такого:
>access-list <название списка доступа> extended permit tcp any <ip-адрес, под которым компьютер будет доступен с интернета> eq www

Тфу, пока писал - сам перепутал
>static (inside,outside) tcp <внутренний ip-адрес компьютера> 80 <ip-адрес, под которым компьютер будет доступен с интернета> 80 netmask 255.255.255.255

тут наоборот, т.е.
static (inside,outside) <ip-адрес, под которым компьютер будет доступен с интернета> <внутренний ip-адрес компьютера> netmask 255.255.255.255

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. " CISCO ASA 5510 пробросить порт из WAN в LAN"  +/
Сообщение от AlexeyI (ok) on 15-Июл-09, 18:10 
>Тфу, пока писал - сам перепутал
>>static (inside,outside) tcp <внутренний ip-адрес компьютера> 80 <ip-адрес, под которым компьютер будет доступен с интернета> 80 netmask 255.255.255.255
>
>тут наоборот, т.е.
>static (inside,outside) <ip-адрес, под которым компьютер будет доступен с интернета> <внутренний ip-адрес компьютера> netmask 255.255.255.255

Все заработало. Премного благодарен за совет.

Что касается проходов из сетки с секьюрностью 100 в 0 так это я добавил просто на всякий случай. сейчас убрал за ненадобностью.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. " CISCO ASA 5510 пробросить порт из WAN в LAN"  +/
Сообщение от pernik on 12-Окт-11, 19:27 
>>Тфу, пока писал - сам перепутал
>>>static (inside,outside) tcp <внутренний ip-адрес компьютера> 80 <ip-адрес, под которым компьютер будет доступен с интернета> 80 netmask 255.255.255.255
>>
>>тут наоборот, т.е.
>>static (inside,outside) <ip-адрес, под которым компьютер будет доступен с интернета> <внутренний ip-адрес компьютера> netmask 255.255.255.255
> Все заработало. Премного благодарен за совет.
> Что касается проходов из сетки с секьюрностью 100 в 0 так это
> я добавил просто на всякий случай. сейчас убрал за ненадобностью.

у меня выбивает ошибку ERROR: This syntax of nat command has been deprecated.
Please refer to "help nat" command for more details.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. " CISCO ASA 5510 пробросить порт из WAN в LAN"  +/
Сообщение от pernik on 12-Окт-11, 19:36 
>[оверквотинг удален]
>>>>static (inside,outside) tcp <внутренний ip-адрес компьютера> 80 <ip-адрес, под которым компьютер будет доступен с интернета> 80 netmask 255.255.255.255
>>>
>>>тут наоборот, т.е.
>>>static (inside,outside) <ip-адрес, под которым компьютер будет доступен с интернета> <внутренний ip-адрес компьютера> netmask 255.255.255.255
>> Все заработало. Премного благодарен за совет.
>> Что касается проходов из сетки с секьюрностью 100 в 0 так это
>> я добавил просто на всякий случай. сейчас убрал за ненадобностью.
> у меня выбивает ошибку ERROR: This syntax of nat command has been
> deprecated.
> Please refer to "help nat" command for more details.

а у меня выбивает ошибку ERROR: This syntax of nat command has been deprecated.
Please refer to "help nat" command for more details.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру