https://www.opennet.dev/openforum/vsluhforumID6/15725.html Добрый день. Есть Cisco ASA 5510 у которой к интерфейсу inside подключена ЛВС (10.0.0.0.24), а к интерфейсу outside сеть с реальными Интернет адресами (x.x.x.x/28) в этой сети есть сервер (IP - x.x.x.XXX) который должен соединяться с сервером СУБД в ЛВС (IP - 10.0.0.2/24, port 10000). Подскажите как организовать такое взаимодействие.<br>Пробовал создать лист доступа с разрешением для данного соединения и привязал его к outside интерфейсу, но не помогло...<br>ciscoasa(config)# access-list 110 extended permit tcp host x.x.x.XXX host 10.0.0.2 eq 10000<br>ciscoasa(config)# access-group 110 in interface outside<br> https://www.opennet.dev/openforum/vsluhforumID6/15725.html#11 Mon, 17 Mar 2008 05:26:16 GMT &gt;[оверквотинг удален]<br>&gt;access-group outside_access_in in interface outside <br>&gt;в таком ваианте даже работает но есть побочный эфект. <br>&gt;нет доступа с наружи к асе по ssh, то есть железяка потерена! <br>&gt;надо идти с консолью, или ехать в гости для подключения из <br>&gt;нутри! <br>&gt;как этого избежать? <br>&gt;<br>&gt;хорошо а если надо развить ситуацию: <br>&gt;скажем надо с 195.х.х.х:8080 пробросить на 192.168.1.3:80 <br>&gt;как это сделать? <br><br>замени static на такую конструкцию:<br>static(inside,outside)tcp 195.x.x.x 8080 192.168.1.2 80 netmask 255.255.255.255<br><br> https://www.opennet.dev/openforum/vsluhforumID6/15725.html#10 Mon, 17 Mar 2008 05:23:45 GMT &gt;ни кто не, незнает? <br><br>покажи sh run ssh<br><br> https://www.opennet.dev/openforum/vsluhforumID6/15725.html#9 Sat, 15 Mar 2008 23:03:44 GMT &gt;[оверквотинг удален]<br>&gt;access-group outside_access_in in interface outside <br>&gt;в таком ваианте даже работает но есть побочный эфект. <br>&gt;нет доступа с наружи к асе по ssh, то есть железяка потерена! <br>&gt;надо идти с консолью, или ехать в гости для подключения из <br>&gt;нутри! <br>&gt;как этого избежать? <br>&gt;<br>&gt;хорошо а если надо развить ситуацию: <br>&gt;скажем надо с 195.х.х.х:8080 пробросить на 192.168.1.3:80 <br>&gt;как это сделать? <br><br>так у тебя всё пробрасывается, потому и теряется доступ по ssh <br>вот примеры<br>static (inside,outside) tcp interface smtp 192.168.0.10 smtp netmask 255.255.255.255<br>static (inside,outside) udp interface dnsix 192.168.0.10 dnsix netmask 255.255.255.255<br>static (inside,outside) tcp interface www 192.168.0.3 www netmask 255.255.255.255<br>static (inside,outside) tcp interface 81 192.168.0.10 81 netmask 255.255.255.255<br>static (inside,outside) tcp interface ssh 192.168.0.10 2222 netmask 255.255.255.255<br>static (inside,outside) tcp interface 4900 192.168.0.30 4899 netmask 255.255.255.255<br><br>interface &lt;п https://www.opennet.dev/openforum/vsluhforumID6/15725.html#8 Fri, 14 Mar 2008 11:40:14 GMT ни кто не, незнает?<br><br><br> https://www.opennet.dev/openforum/vsluhforumID6/15725.html#7 Thu, 13 Mar 2008 18:50:23 GMT похожая ситуация:<br>asa5510 inside 192.168.1.1 outside 195.x.x.x в локалке есть ftp сервер с адресом 192.168.1.2<br>задача, нужно с интернета передоставить доступ всем к ftp.<br>для удобства администрирования на асе поднят ssh на обоих интерфейсах.<br>покапавшись в документации нашел такое решение.<br>static(inside,outside)195.x.x.x 192.168.1.2 netmask 255.255.255.255<br>access-list outside_access_in extended permit tcp any 195.x.x.x eq ftp<br>access-group outside_access_in in interface outside<br>в таком ваианте даже работает но есть побочный эфект.<br>нет доступа с наружи к асе по ssh, то есть железяка потерена! надо идти с консолью, или ехать в гости для подключения из нутри!<br>как этого избежать?<br><br>хорошо а если надо развить ситуацию:<br>скажем надо с 195.х.х.х:8080 пробросить на 192.168.1.3:80<br>как это сделать?<br><br> https://www.opennet.dev/openforum/vsluhforumID6/15725.html#6 Thu, 13 Mar 2008 11:35:28 GMT Спасибо за отклик по моей теме.<br>С вариантом транслирования внутреннего адрес во внешний это понятно. Я думал может быть есть возможность не предоставляя внешнего адреса для сервера в ЛВС разрешить к нему доступ только с одного сервера и по одному порту.<br>Лучше я попытаюсь описать ситуацию... Сервер в Интернет с которым взаимодействую пользователи, сам же он должен обрабатывая запросы этих пользователей соединяться с сервером СУБД расположенный за Cisco ASA (за inside). Не хотелось бы для этой одной задачи выделять отдельный интернетовский адрес. <br><br><br> https://www.opennet.dev/openforum/vsluhforumID6/15725.html#5 Thu, 13 Mar 2008 08:23:16 GMT Правильно ли я понял, что есть потребность дать доступ узлам извне (internet) к локальному ресурсу? Если так, то во-первых необходимо оттранслировать адрес сервера 10.0.0.2 в некий внешний адрес (internet-адрес). Ну и во-вторых тот acl, который вы привели вообще не должен дать результата, потому что:<br> 1)на внешний интерфейс пакты приходят от internet адресов на internet адреса, 10.0.0.2 к ним не относится;<br> 2) если фильтровать по адресу назначения 10.0.0.2, то нужно acl вешать на внутренний интерфейс.<br><br>Если есть возможность выделить серверу отедльный internet адрес, то я бы сделал так:<br><br>static (inside,outside) &lt;internet адрес выделенный серверу&gt; 10.0.0.2 netmask 255.255.255.255<br>access-list 110 permit tcp host x.x.x.XXX host &lt;internet адрес выделенный серверу&gt; eq 10000<br>access-group 1 in interface outside<br><br><br> https://www.opennet.dev/openforum/vsluhforumID6/15725.html#4 Wed, 12 Mar 2008 11:24:28 GMT А-у-у-у....<br>Кто знает, подскажите пожалуйста...<br><br><br> https://www.opennet.dev/openforum/vsluhforumID6/15725.html#3 Tue, 11 Mar 2008 07:28:24 GMT &gt;&gt;если аса делает нат, то нужно чтобы соединение инициируемое сервером в лок. <br>&gt;&gt;сети. под нат не попадало. <br><br> Получается ситуация, что сервер из Интернета (outside интерфейс) инициирует соединение с сервером в ЛВС... <br><br><br>