forum.opennet.ru - "ASA5505 и 'хитрый' нат" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ASA5505 и 'хитрый' нат"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ASA5505 и 'хитрый' нат"	+/–
Сообщение от sintez (ok) on 21-Авг-10, 16:21
Здравствуйте. Есть следующий вопрос по нату на ASA 5505. Дано: Рабочая станция 192.168.1.10/24 Сервер 192.168.1.20/24 ASA 5505 192.168.1.1/24 (inside) 11.22.33.44/30 (outside) На сервере есть некий сервис, работающий на порту 6000/tcp, на файерволе настроен static nat для проброски этого порта снаружи. Теперь стоит задача, чтобы рабочая станция обратилась к адресу 11.22.33.44:6000 и нормально подключилась. То есть нужно обратиться к inside интерфейсу через outside. Можно ли такое сделать на этой железке? Варианты с DNS и редактированием файла hosts прошу не предлагать. Спасибо.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

ASA5505 и 'хитрый' нат, crash, 06:01 , 23-Авг-10, (1)

ASA5505 и 'хитрый' нат, sintez, 09:29 , 23-Авг-10, (3)

ASA5505 и 'хитрый' нат, lumenous, 13:49 , 23-Авг-10, (4)

ASA5505 и 'хитрый' нат, lecaf, 15:23 , 23-Авг-10, (5)

ASA5505 и 'хитрый' нат, sintez, 15:54 , 23-Авг-10, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "ASA5505 и 'хитрый' нат" +/–

Сообщение от crash (ok) on 23-Авг-10, 06:01

>На сервере есть некий сервис, работающий на порту 6000/tcp, на файерволе настроен
>static nat для проброски этого порта снаружи. Теперь стоит задача, чтобы
>рабочая станция обратилась к адресу 11.22.33.44:6000 и нормально подключилась. То есть
>нужно обратиться к inside интерфейсу через outside. Можно ли такое сделать
>на этой железке? Варианты с DNS и редактированием файла hosts прошу
>не предлагать. Спасибо.
не понятно в чем проблема? Пазрешаете станции выходить наружу и пусть она цепляется на внешний адрес. Права не понятно зачем это надо.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "ASA5505 и 'хитрый' нат" +/–

Сообщение от sintez (ok) on 23-Авг-10, 09:29

>не понятно в чем проблема? Пазрешаете станции выходить наружу и пусть она
>цепляется на внешний адрес.
Не получится так. В данном случае получается, что клиентом выступает сама ASA и пакеты будут передаваться на порт 6000 файервола, а не сервера. В Линуксе в iptables такая проблема решается добавлением правила -t nat -A OUTPUT -d 11.22.33.44 -p tcp --dport 6000 -j DNAT --to-destination 192.168.1.20 (адрес сервера). Можно ли сделать тоже самое на Циске?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "ASA5505 и 'хитрый' нат" +/–

Сообщение от lumenous (ok) on 23-Авг-10, 13:49

>>не понятно в чем проблема? Пазрешаете станции выходить наружу и пусть она
>>цепляется на внешний адрес.
>
>Не получится так. В данном случае получается, что клиентом выступает сама ASA
>и пакеты будут передаваться на порт 6000 файервола, а не сервера.
>В Линуксе в iptables такая проблема решается добавлением правила -t nat
>-A OUTPUT -d 11.22.33.44 -p tcp --dport 6000 -j DNAT --to-destination
>192.168.1.20 (адрес сервера). Можно ли сделать тоже самое на Циске?
Ну, обратится она на 6000 порт 11.22.33.44, далее через правило, которое у вас прописано, попадает обратно на внутренний интерфейс. По идее все должно работать.
МОжет быть у вас не настроен NAT для выхода изнутри наружу?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "ASA5505 и 'хитрый' нат" +/–

Сообщение от lecaf on 23-Авг-10, 15:23

Хороший вопрос. Сам с такой же ситуацией столкнулся, потом плюнул - не было времени разбираться. Обошелся на время вариантом с DNS.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "ASA5505 и 'хитрый' нат" +/–

Сообщение от sintez (ok) on 23-Авг-10, 15:54

>Хороший вопрос. Сам с такой же ситуацией столкнулся, потом плюнул - не
>было времени разбираться. Обошелся на время вариантом с DNS.
Временно сделал костыль - с рабочая станция по pptp подключается к серваку другого офиса и через его айпишник ходит куда нужно )) Через жопу, конечно, но надо чтобы хоть как-то работало.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ASA5505 и 'хитрый' нат"	+/–
Сообщение от crash (ok) on 23-Авг-10, 06:01
>На сервере есть некий сервис, работающий на порту 6000/tcp, на файерволе настроен >static nat для проброски этого порта снаружи. Теперь стоит задача, чтобы >рабочая станция обратилась к адресу 11.22.33.44:6000 и нормально подключилась. То есть >нужно обратиться к inside интерфейсу через outside. Можно ли такое сделать >на этой железке? Варианты с DNS и редактированием файла hosts прошу >не предлагать. Спасибо. не понятно в чем проблема? Пазрешаете станции выходить наружу и пусть она цепляется на внешний адрес. Права не понятно зачем это надо.
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "ASA5505 и 'хитрый' нат"	+/–
	Сообщение от sintez (ok) on 23-Авг-10, 09:29
	>не понятно в чем проблема? Пазрешаете станции выходить наружу и пусть она >цепляется на внешний адрес. Не получится так. В данном случае получается, что клиентом выступает сама ASA и пакеты будут передаваться на порт 6000 файервола, а не сервера. В Линуксе в iptables такая проблема решается добавлением правила -t nat -A OUTPUT -d 11.22.33.44 -p tcp --dport 6000 -j DNAT --to-destination 192.168.1.20 (адрес сервера). Можно ли сделать тоже самое на Циске?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "ASA5505 и 'хитрый' нат"	+/–
	Сообщение от lumenous (ok) on 23-Авг-10, 13:49
	>>не понятно в чем проблема? Пазрешаете станции выходить наружу и пусть она >>цепляется на внешний адрес. > >Не получится так. В данном случае получается, что клиентом выступает сама ASA >и пакеты будут передаваться на порт 6000 файервола, а не сервера. >В Линуксе в iptables такая проблема решается добавлением правила -t nat >-A OUTPUT -d 11.22.33.44 -p tcp --dport 6000 -j DNAT --to-destination >192.168.1.20 (адрес сервера). Можно ли сделать тоже самое на Циске? Ну, обратится она на 6000 порт 11.22.33.44, далее через правило, которое у вас прописано, попадает обратно на внутренний интерфейс. По идее все должно работать. МОжет быть у вас не настроен NAT для выхода изнутри наружу?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "ASA5505 и 'хитрый' нат"	+/–
	Сообщение от lecaf on 23-Авг-10, 15:23
	Хороший вопрос. Сам с такой же ситуацией столкнулся, потом плюнул - не было времени разбираться. Обошелся на время вариантом с DNS.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	6. "ASA5505 и 'хитрый' нат"	+/–
	Сообщение от sintez (ok) on 23-Авг-10, 15:54
	>Хороший вопрос. Сам с такой же ситуацией столкнулся, потом плюнул - не >было времени разбираться. Обошелся на время вариантом с DNS. Временно сделал костыль - с рабочая станция по pptp подключается к серваку другого офиса и через его айпишник ходит куда нужно )) Через жопу, конечно, но надо чтобы хоть как-то работало.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору