https://www.opennet.ru/openforum/vsluhforumID6/1236.html Доброго всем.Я новичек в ios, по сему прошу вашей помощи. Пробовал по мануалам из инета, ничего не выходит.<br>Есть asa 5505 c base licens. Есть задача настроить DMZ, при чем сделать возможным доступ из inside в DMZ. DMZ должна ходить в инет. <br>Вот мой конфиг:<br><br>!<br>interface Vlan1<br> nameif inside<br> security-level 100<br> ip address 172.17.1.10 255.255.255.0 <br>!<br>interface Vlan2<br> nameif outside<br> security-level 0<br> ip address 192.168.12.20 255.255.255.0 <br>!<br>interface Vlan12<br> no forward interface Vlan1<br> nameif dmz<br> security-level 50<br> ip address 172.17.2.10 255.255.255.0 <br>!<br>interface Ethernet0/0<br> switchport access vlan 2<br>!<br>interface Ethernet0/1<br>!<br>interface Ethernet0/2<br>!<br>interface Ethernet0/3<br> switchport access vlan 12<br>!<br>interface Ethernet0/4<br>!<br>interface Ethernet0/5<br>!<br>interface Ethernet0/6<br>!<br>interface Ethernet0/7<br>!<br>ftp mode passive<br>clock timezone EEST 2<br>clock summer-time EEDT recurring last Sun Mar 3:00 last Sun Oct 4:00<br>dns server-group DefaultDNS<br> domain-name default<br>object-group pro https://www.opennet.ru/openforum/vsluhforumID6/1236.html#5 Fri, 21 Feb 2014 11:34:24 GMT &gt;&gt; переделал так, но все равно не работает пинг из inside в dmz.<br>&gt;&gt; Прошу не пинать, в цысках новичек. Подскажите где грабли? :( <br>&gt; Естественно не будет работать у вас маршрутов нет.<br>&gt; Один только дефолт <br>&gt; route outside 0.0.0.0 0.0.0.0 192.168.12.98 1 <br><br>спасибо. разобрался))<br> https://www.opennet.ru/openforum/vsluhforumID6/1236.html#4 Fri, 21 Feb 2014 11:20:24 GMT &gt; переделал так, но все равно не работает пинг из inside в dmz. <br>&gt; Прошу не пинать, в цысках новичек. Подскажите где грабли? :( <br><br>Естественно не будет работать у вас маршрутов нет.<br>Один только дефолт<br>route outside 0.0.0.0 0.0.0.0 192.168.12.98 1<br> https://www.opennet.ru/openforum/vsluhforumID6/1236.html#3 Fri, 21 Feb 2014 08:50:20 GMT переделал так, но все равно не работает пинг из inside в dmz. Прошу не пинать, в цысках новичек. Подскажите где грабли? :(<br><br><br>!<br>interface Vlan1<br> nameif inside<br> security-level 100<br> ip address 172.17.1.10 255.255.255.0 <br>!<br>interface Vlan2<br> nameif outside<br> security-level 0<br> ip address 192.168.12.20 255.255.255.0 <br>!<br>interface Vlan12<br> no forward interface Vlan1<br> nameif dmz<br> security-level 50<br> ip address 172.17.2.10 255.255.255.0 <br>!<br>interface Ethernet0/0<br> switchport access vlan 2<br>!<br>interface Ethernet0/1<br>!<br>interface Ethernet0/2<br>!<br>interface Ethernet0/3<br> switchport access vlan 12<br>!<br>interface Ethernet0/4<br>!<br>interface Ethernet0/5<br>!<br>interface Ethernet0/6<br>!<br>interface Ethernet0/7<br>!<br>ftp mode passive<br>clock timezone EEST 2<br>clock summer-time EEDT recurring last Sun Mar 3:00 last Sun Oct 4:00<br>dns server-group DefaultDNS<br> domain-name default<br>same-security-traffic permit intra-interface<br>object-group protocol TCPUDP<br> protocol-object udp<br> protocol-object tcp<br>object-group service ra tcp-ud https://www.opennet.ru/openforum/vsluhforumID6/1236.html#2 Fri, 21 Feb 2014 08:25:02 GMT &gt; при наличии access-list inside_access_in extended permit ip any any все остальное <br>&gt; не имеет смысла.<br>&gt; Обычно делают: <br>&gt; - OUTSIDE-IN (лист доступа из внешних сетей) <br>&gt; - OUTSIDE-OUT (лист доступа во внешние сети если хотите это контролировать) <br>&gt; - DMZ-OUT (лист доступа на выход их сети DMZ во вне и <br>&gt; в inside) <br>&gt; Доступ из inside в dmz открыт по дефолту из-за разницы в security-level <br>&gt; (из большего в меньший).<br>&gt; Для понимания работы логики ASA есть в ней классная команда packet-tracert <br><br>permit ip any any добавил что бы исключить грабли с фаерволом.<br><br>&gt; Доступ из inside в dmz открыт по дефолту из-за разницы в security-level <br>&gt; (из большего в меньший).<br><br>Не работает.(( не пингую я иp inside хост в DMZ.<br>Подскажите плиз чего делать?<br> https://www.opennet.ru/openforum/vsluhforumID6/1236.html#1 Fri, 21 Feb 2014 08:04:01 GMT при наличии access-list inside_access_in extended permit ip any any все остальное не имеет смысла.<br><br>Обычно делают:<br>- OUTSIDE-IN (лист доступа из внешних сетей)<br>- OUTSIDE-OUT (лист доступа во внешние сети если хотите это контролировать)<br>- DMZ-OUT (лист доступа на выход их сети DMZ во вне и в inside)<br>Доступ из inside в dmz открыт по дефолту из-за разницы в security-level (из большего в меньший).<br><br><br>Для понимания работы логики ASA есть в ней классная команда packet-tracert <br>