The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Cisco ASA 5510 организация соединения из outside в inside"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Cisco ASA 5510 организация соединения из outside в inside"  
Сообщение от bardak email(ok) on 11-Мрт-08, 09:40 
Добрый день. Есть Cisco ASA 5510 у которой к интерфейсу inside подключена ЛВС (10.0.0.0.24), а к интерфейсу outside сеть с реальными Интернет адресами (x.x.x.x/28) в этой сети есть сервер (IP - x.x.x.XXX) который должен соединяться с сервером СУБД в ЛВС (IP - 10.0.0.2/24, port 10000). Подскажите как организовать такое взаимодействие.
Пробовал создать лист доступа с разрешением для данного соединения и привязал его к outside интерфейсу, но не помогло...
ciscoasa(config)# access-list 110 extended permit tcp host x.x.x.XXX host 10.0.0.2 eq 10000
ciscoasa(config)# access-group 110 in interface outside
Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco ASA 5510 организация соединения из outside в inside"  
Сообщение от chocholl email(??) on 11-Мрт-08, 10:02 
>Добрый день. Есть Cisco ASA 5510 у которой к интерфейсу inside подключена
>ЛВС (10.0.0.0.24), а к интерфейсу outside сеть с реальными Интернет адресами
>(x.x.x.x/28) в этой сети есть сервер (IP - x.x.x.XXX) который должен
>соединяться с сервером СУБД в ЛВС (IP - 10.0.0.2/24, port 10000).
>Подскажите как организовать такое взаимодействие.
>Пробовал создать лист доступа с разрешением для данного соединения и привязал его
>к outside интерфейсу, но не помогло...
>ciscoasa(config)# access-list 110 extended permit tcp host x.x.x.XXX host 10.0.0.2 eq 10000
>
>ciscoasa(config)# access-group 110 in interface outside

если аса делает нат, то нужно чтобы соединение инициируемое сервером в лок. сети. под нат не попадало.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Cisco ASA 5510 организация соединения из outside в inside"  
Сообщение от bardak email(ok) on 11-Мрт-08, 10:05 
>если аса делает нат, то нужно чтобы соединение инициируемое сервером в лок.
>сети. под нат не попадало.

Если не трудно, поподробней... или в примере..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Cisco ASA 5510 организация соединения из outside в inside"  
Сообщение от bardak email(ok) on 11-Мрт-08, 10:28 
>>если аса делает нат, то нужно чтобы соединение инициируемое сервером в лок.
>>сети. под нат не попадало.

Получается ситуация, что сервер из Интернета (outside интерфейс) инициирует соединение с сервером в ЛВС...


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Cisco ASA 5510 организация соединения из outside в inside"  
Сообщение от bardak email(ok) on 12-Мрт-08, 14:24 
А-у-у-у....
Кто знает, подскажите пожалуйста...


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Cisco ASA 5510 организация соединения из outside в inside"  
Сообщение от intellegent email on 13-Мрт-08, 11:23 
Правильно ли я понял, что есть потребность дать доступ узлам извне (internet) к локальному ресурсу? Если так, то во-первых необходимо оттранслировать адрес сервера 10.0.0.2 в некий внешний адрес (internet-адрес). Ну и во-вторых тот acl, который вы привели вообще не должен дать результата, потому что:
1)на внешний интерфейс пакты приходят от internet адресов на internet адреса, 10.0.0.2 к ним не относится;
2) если фильтровать по адресу назначения 10.0.0.2, то нужно acl вешать на внутренний интерфейс.

Если есть возможность выделить серверу отедльный internet адрес, то я бы сделал так:

static (inside,outside) <internet адрес выделенный серверу> 10.0.0.2 netmask 255.255.255.255
access-list 110 permit tcp host x.x.x.XXX host <internet адрес выделенный серверу> eq 10000
access-group 1 in interface outside


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Cisco ASA 5510 организация соединения из outside в inside"  
Сообщение от bardak email(ok) on 13-Мрт-08, 14:35 
Спасибо за отклик по моей теме.
С вариантом транслирования внутреннего адрес во внешний это понятно. Я думал может быть есть возможность не предоставляя внешнего адреса для сервера в ЛВС разрешить к нему доступ только с одного сервера и по одному порту.
Лучше я попытаюсь описать ситуацию... Сервер в Интернет с которым взаимодействую пользователи, сам же он должен обрабатывая запросы этих пользователей соединяться с сервером СУБД расположенный за Cisco ASA (за inside). Не хотелось бы для этой одной задачи выделять отдельный интернетовский адрес.  


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Cisco ASA 5510 организация соединения из outside в inside"  
Сообщение от djek (??) on 13-Мрт-08, 21:50 
похожая ситуация:
asa5510 inside 192.168.1.1 outside 195.x.x.x в локалке есть ftp сервер с адресом 192.168.1.2
задача, нужно с интернета передоставить доступ всем к ftp.
для удобства администрирования на асе поднят ssh  на обоих интерфейсах.
покапавшись в документации нашел такое решение.
static(inside,outside)195.x.x.x 192.168.1.2 netmask 255.255.255.255
access-list outside_access_in extended permit tcp any 195.x.x.x eq ftp
access-group outside_access_in in interface outside
в таком ваианте даже работает но есть побочный эфект.
нет доступа с наружи к асе по ssh, то есть железяка потерена! надо идти с консолью, или ехать в гости для подключения из нутри!
как этого избежать?

хорошо а если надо развить ситуацию:
скажем надо с 195.х.х.х:8080 пробросить на 192.168.1.3:80
как это сделать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Cisco ASA 5510 организация соединения из outside в inside"  
Сообщение от djek (??) on 14-Мрт-08, 14:40 
ни кто не, незнает?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Cisco ASA 5510 организация соединения из outside в inside"  
Сообщение от ragent email on 17-Мрт-08, 08:23 
>ни кто не, незнает?

покажи sh run ssh

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Cisco ASA 5510 организация соединения из outside в inside"  
Сообщение от MoBilka email(ok) on 16-Мрт-08, 02:03 
>[оверквотинг удален]
>access-group outside_access_in in interface outside
>в таком ваианте даже работает но есть побочный эфект.
>нет доступа с наружи к асе по ssh, то есть железяка потерена!
>надо идти с консолью, или ехать в гости для подключения из
>нутри!
>как этого избежать?
>
>хорошо а если надо развить ситуацию:
>скажем надо с 195.х.х.х:8080 пробросить на 192.168.1.3:80
>как это сделать?

так у тебя всё пробрасывается, потому и теряется доступ по ssh
вот примеры
static (inside,outside) tcp interface smtp 192.168.0.10 smtp netmask 255.255.255.255
static (inside,outside) udp interface dnsix 192.168.0.10 dnsix netmask 255.255.255.255
static (inside,outside) tcp interface www 192.168.0.3 www netmask 255.255.255.255
static (inside,outside) tcp interface 81 192.168.0.10 81 netmask 255.255.255.255
static (inside,outside) tcp interface ssh 192.168.0.10 2222 netmask 255.255.255.255
static (inside,outside) tcp interface 4900 192.168.0.30 4899 netmask 255.255.255.255

interface <порт> - порт на внешнем у асы
192.168.0.30 <порт> - IP и порт на серваке в локалке

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Cisco ASA 5510 организация соединения из outside в inside"  
Сообщение от ragent email on 17-Мрт-08, 08:26 
>[оверквотинг удален]
>access-group outside_access_in in interface outside
>в таком ваианте даже работает но есть побочный эфект.
>нет доступа с наружи к асе по ssh, то есть железяка потерена!
>надо идти с консолью, или ехать в гости для подключения из
>нутри!
>как этого избежать?
>
>хорошо а если надо развить ситуацию:
>скажем надо с 195.х.х.х:8080 пробросить на 192.168.1.3:80
>как это сделать?

замени static на такую конструкцию:
static(inside,outside)tcp 195.x.x.x 8080 192.168.1.2 80 netmask 255.255.255.255

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру