The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ASA5505 и 'хитрый' нат"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"ASA5505 и 'хитрый' нат"  +/
Сообщение от sintez email(ok) on 21-Авг-10, 16:21 
Здравствуйте. Есть следующий вопрос по нату на ASA 5505.

Дано:
Рабочая станция 192.168.1.10/24
Сервер 192.168.1.20/24
ASA 5505 192.168.1.1/24 (inside)
         11.22.33.44/30 (outside)

На сервере есть некий сервис, работающий на порту 6000/tcp, на файерволе настроен static nat для проброски этого порта снаружи. Теперь стоит задача, чтобы рабочая станция обратилась к адресу 11.22.33.44:6000 и нормально подключилась. То есть нужно обратиться к inside интерфейсу через outside. Можно ли такое сделать на этой железке? Варианты с DNS и редактированием файла hosts прошу не предлагать. Спасибо.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "ASA5505 и 'хитрый' нат"  +/
Сообщение от crash (ok) on 23-Авг-10, 06:01 
>На сервере есть некий сервис, работающий на порту 6000/tcp, на файерволе настроен
>static nat для проброски этого порта снаружи. Теперь стоит задача, чтобы
>рабочая станция обратилась к адресу 11.22.33.44:6000 и нормально подключилась. То есть
>нужно обратиться к inside интерфейсу через outside. Можно ли такое сделать
>на этой железке? Варианты с DNS и редактированием файла hosts прошу
>не предлагать. Спасибо.

не понятно в чем проблема? Пазрешаете станции выходить наружу и пусть она цепляется на внешний адрес. Права не понятно зачем это надо.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "ASA5505 и 'хитрый' нат"  +/
Сообщение от sintez (ok) on 23-Авг-10, 09:29 
>не понятно в чем проблема? Пазрешаете станции выходить наружу и пусть она
>цепляется на внешний адрес.

Не получится так. В данном случае получается, что клиентом выступает сама ASA и пакеты будут передаваться на порт 6000 файервола, а не сервера. В Линуксе в iptables такая проблема решается добавлением правила -t nat -A OUTPUT -d 11.22.33.44 -p tcp --dport 6000 -j DNAT --to-destination 192.168.1.20 (адрес сервера). Можно ли сделать тоже самое на Циске?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "ASA5505 и 'хитрый' нат"  +/
Сообщение от lumenous (ok) on 23-Авг-10, 13:49 
>>не понятно в чем проблема? Пазрешаете станции выходить наружу и пусть она
>>цепляется на внешний адрес.
>
>Не получится так. В данном случае получается, что клиентом выступает сама ASA
>и пакеты будут передаваться на порт 6000 файервола, а не сервера.
>В Линуксе в iptables такая проблема решается добавлением правила -t nat
>-A OUTPUT -d 11.22.33.44 -p tcp --dport 6000 -j DNAT --to-destination
>192.168.1.20 (адрес сервера). Можно ли сделать тоже самое на Циске?

Ну, обратится она на 6000 порт 11.22.33.44, далее через правило, которое у вас прописано, попадает обратно на внутренний интерфейс. По идее все должно работать.
МОжет быть у вас не настроен NAT для выхода изнутри наружу?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "ASA5505 и 'хитрый' нат"  +/
Сообщение от lecaf on 23-Авг-10, 15:23 
Хороший вопрос. Сам с такой же ситуацией столкнулся, потом плюнул - не было времени разбираться. Обошелся на время вариантом с DNS.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "ASA5505 и 'хитрый' нат"  +/
Сообщение от sintez (ok) on 23-Авг-10, 15:54 
>Хороший вопрос. Сам с такой же ситуацией столкнулся, потом плюнул - не
>было времени разбираться. Обошелся на время вариантом с DNS.

Временно сделал костыль - с рабочая станция по pptp подключается к серваку другого офиса и через его айпишник ходит куда нужно )) Через жопу, конечно, но надо чтобы хоть как-то работало.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру