форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Cisco ASA 5510 организация соединения из outside в inside"

Сообщение от bardak (ok) on 11-Мрт-08, 09:40

Добрый день. Есть Cisco ASA 5510 у которой к интерфейсу inside подключена ЛВС (10.0.0.0.24), а к интерфейсу outside сеть с реальными Интернет адресами (x.x.x.x/28) в этой сети есть сервер (IP - x.x.x.XXX) который должен соединяться с сервером СУБД в ЛВС (IP - 10.0.0.2/24, port 10000). Подскажите как организовать такое взаимодействие. Пробовал создать лист доступа с разрешением для данного соединения и привязал его к outside интерфейсу, но не помогло... ciscoasa(config)# access-list 110 extended permit tcp host x.x.x.XXX host 10.0.0.2 eq 10000 ciscoasa(config)# access-group 110 in interface outside

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Cisco ASA 5510 организация соединения из outside в inside"

Сообщение от chocholl (??) on 11-Мрт-08, 10:02

>Добрый день. Есть Cisco ASA 5510 у которой к интерфейсу inside подключена >ЛВС (10.0.0.0.24), а к интерфейсу outside сеть с реальными Интернет адресами >(x.x.x.x/28) в этой сети есть сервер (IP - x.x.x.XXX) который должен >соединяться с сервером СУБД в ЛВС (IP - 10.0.0.2/24, port 10000). >Подскажите как организовать такое взаимодействие. >Пробовал создать лист доступа с разрешением для данного соединения и привязал его >к outside интерфейсу, но не помогло... >ciscoasa(config)# access-list 110 extended permit tcp host x.x.x.XXX host 10.0.0.2 eq 10000 > >ciscoasa(config)# access-group 110 in interface outside если аса делает нат, то нужно чтобы соединение инициируемое сервером в лок. сети. под нат не попадало.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Cisco ASA 5510 организация соединения из outside в inside"
	Сообщение от bardak (ok) on 11-Мрт-08, 10:05
	>если аса делает нат, то нужно чтобы соединение инициируемое сервером в лок. >сети. под нат не попадало. Если не трудно, поподробней... или в примере..
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Cisco ASA 5510 организация соединения из outside в inside"
	Сообщение от bardak (ok) on 11-Мрт-08, 10:28
	>>если аса делает нат, то нужно чтобы соединение инициируемое сервером в лок. >>сети. под нат не попадало. Получается ситуация, что сервер из Интернета (outside интерфейс) инициирует соединение с сервером в ЛВС...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Cisco ASA 5510 организация соединения из outside в inside"
	Сообщение от bardak (ok) on 12-Мрт-08, 14:24
	А-у-у-у.... Кто знает, подскажите пожалуйста...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Cisco ASA 5510 организация соединения из outside в inside"
	Сообщение от intellegent on 13-Мрт-08, 11:23
	Правильно ли я понял, что есть потребность дать доступ узлам извне (internet) к локальному ресурсу? Если так, то во-первых необходимо оттранслировать адрес сервера 10.0.0.2 в некий внешний адрес (internet-адрес). Ну и во-вторых тот acl, который вы привели вообще не должен дать результата, потому что: 1)на внешний интерфейс пакты приходят от internet адресов на internet адреса, 10.0.0.2 к ним не относится; 2) если фильтровать по адресу назначения 10.0.0.2, то нужно acl вешать на внутренний интерфейс. Если есть возможность выделить серверу отедльный internet адрес, то я бы сделал так: static (inside,outside) <internet адрес выделенный серверу> 10.0.0.2 netmask 255.255.255.255 access-list 110 permit tcp host x.x.x.XXX host <internet адрес выделенный серверу> eq 10000 access-group 1 in interface outside
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Cisco ASA 5510 организация соединения из outside в inside"
	Сообщение от bardak (ok) on 13-Мрт-08, 14:35
	Спасибо за отклик по моей теме. С вариантом транслирования внутреннего адрес во внешний это понятно. Я думал может быть есть возможность не предоставляя внешнего адреса для сервера в ЛВС разрешить к нему доступ только с одного сервера и по одному порту. Лучше я попытаюсь описать ситуацию... Сервер в Интернет с которым взаимодействую пользователи, сам же он должен обрабатывая запросы этих пользователей соединяться с сервером СУБД расположенный за Cisco ASA (за inside). Не хотелось бы для этой одной задачи выделять отдельный интернетовский адрес.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Cisco ASA 5510 организация соединения из outside в inside"
	Сообщение от djek (??) on 13-Мрт-08, 21:50
	похожая ситуация: asa5510 inside 192.168.1.1 outside 195.x.x.x в локалке есть ftp сервер с адресом 192.168.1.2 задача, нужно с интернета передоставить доступ всем к ftp. для удобства администрирования на асе поднят ssh  на обоих интерфейсах. покапавшись в документации нашел такое решение. static(inside,outside)195.x.x.x 192.168.1.2 netmask 255.255.255.255 access-list outside_access_in extended permit tcp any 195.x.x.x eq ftp access-group outside_access_in in interface outside в таком ваианте даже работает но есть побочный эфект. нет доступа с наружи к асе по ssh, то есть железяка потерена! надо идти с консолью, или ехать в гости для подключения из нутри! как этого избежать? хорошо а если надо развить ситуацию: скажем надо с 195.х.х.х:8080 пробросить на 192.168.1.3:80 как это сделать?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Cisco ASA 5510 организация соединения из outside в inside"
	Сообщение от djek (??) on 14-Мрт-08, 14:40
	ни кто не, незнает?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Cisco ASA 5510 организация соединения из outside в inside"
	Сообщение от ragent on 17-Мрт-08, 08:23
	>ни кто не, незнает? покажи sh run ssh
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Cisco ASA 5510 организация соединения из outside в inside"
	Сообщение от MoBilka (ok) on 16-Мрт-08, 02:03
	>[оверквотинг удален] >access-group outside_access_in in interface outside >в таком ваианте даже работает но есть побочный эфект. >нет доступа с наружи к асе по ssh, то есть железяка потерена! >надо идти с консолью, или ехать в гости для подключения из >нутри! >как этого избежать? > >хорошо а если надо развить ситуацию: >скажем надо с 195.х.х.х:8080 пробросить на 192.168.1.3:80 >как это сделать? так у тебя всё пробрасывается, потому и теряется доступ по ssh вот примеры static (inside,outside) tcp interface smtp 192.168.0.10 smtp netmask 255.255.255.255 static (inside,outside) udp interface dnsix 192.168.0.10 dnsix netmask 255.255.255.255 static (inside,outside) tcp interface www 192.168.0.3 www netmask 255.255.255.255 static (inside,outside) tcp interface 81 192.168.0.10 81 netmask 255.255.255.255 static (inside,outside) tcp interface ssh 192.168.0.10 2222 netmask 255.255.255.255 static (inside,outside) tcp interface 4900 192.168.0.30 4899 netmask 255.255.255.255 interface <порт> - порт на внешнем у асы 192.168.0.30 <порт> - IP и порт на серваке в локалке
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Cisco ASA 5510 организация соединения из outside в inside"
	Сообщение от ragent on 17-Мрт-08, 08:26
	>[оверквотинг удален] >access-group outside_access_in in interface outside >в таком ваианте даже работает но есть побочный эфект. >нет доступа с наружи к асе по ssh, то есть железяка потерена! >надо идти с консолью, или ехать в гости для подключения из >нутри! >как этого избежать? > >хорошо а если надо развить ситуацию: >скажем надо с 195.х.х.х:8080 пробросить на 192.168.1.3:80 >как это сделать? замени static на такую конструкцию: static(inside,outside)tcp 195.x.x.x 8080 192.168.1.2 80 netmask 255.255.255.255
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]