https://www.opennet.ru/openforum/vsluhforumID6/19372.html Всем привет. Понадобилось оградить одну сеть пиксом. Для начала стоит задача чтобы пикс пропускал через себя весь траффик в обе стороны, т.е. в inside сеть и из нее. Выход из inside сети настроил, а вот сделать чтобы она была доступна из других сетей за пиксом не могу. Подскажите плиз как сделать ? Ниже конфиг пикса:<br><br>pix# sh run<br>: Saved<br>:<br>ASA Version 7.0(8)<br>!<br>hostname pix<br>enable password 2KFQnbNIdI.2KYOU encrypted<br>passwd 2KFQnbNIdI.2KYOU encrypted<br>names<br>dns-guard<br>!<br>interface GigabitEthernet0/0<br> nameif outside<br> security-level 0<br> ip address 10.2.2.60 255.255.0.0<br>!<br>interface GigabitEthernet0/1<br> description LAN<br> nameif inside<br> security-level 100<br> ip address 192.168.4.1 255.255.255.0<br>!<br>interface GigabitEthernet0/2<br> shutdown<br> no nameif<br> no security-level<br> no ip address<br>!<br>interface GigabitEthernet0/3<br> shutdown<br> no nameif<br> no security-level<br> no ip address<br>!<br>interface Management0/0<br> nameif management<br> security-level 100<br> ip address 192.168.1.1 255.255.255.0<br> management-only<br>! https://www.opennet.ru/openforum/vsluhforumID6/19372.html#6 Wed, 29 Jul 2009 19:29:05 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;быть заработает... Убедитесь только, что устройства со стороны внешнего интерфейса пикса <br>&gt;&gt;&gt;имеют маршрут в вашу внутреннюю сеть. <br>&gt;&gt;<br>&gt;&gt;Про маршрут писалось с учетом того, что сеть 10.2.2.0 255.255.0.0 обслуживается Вами, <br>&gt;&gt;а не каким-нибудь провайдером... <br>&gt;<br>&gt;Вот так сделал: <br>&gt;static (inside,outside) 192.168.4.2 192.168.4.2 netmask 255.255.255.255 <br>&gt;<br>&gt;192.168.4.2 это ip inside сети. Работает. <br><br>Вы бы все же прочитали официальное руководство. ;)<br>В данном случае, это команда просто отменяет NAT для адреса 192.168.4.2, т.е. данный адрес не транслируется ни в один из адресов 10.2.2.0/16, а выводиться как есть.<br> https://www.opennet.ru/openforum/vsluhforumID6/19372.html#5 Wed, 29 Jul 2009 12:01:02 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;такая вот ситуация сложилась) чтоб видели что он стоит, а потом <br>&gt;&gt;&gt;уже буду прописывать доступы. <br>&gt;&gt;<br>&gt;&gt;Попробуйте тогда создать разрешаюший расширенный список доступа по ip от any к <br>&gt;&gt;any и прилепить его на вход к внешнему интерфейсу пикса... может <br>&gt;&gt;быть заработает... Убедитесь только, что устройства со стороны внешнего интерфейса пикса <br>&gt;&gt;имеют маршрут в вашу внутреннюю сеть. <br>&gt;<br>&gt;Про маршрут писалось с учетом того, что сеть 10.2.2.0 255.255.0.0 обслуживается Вами, <br>&gt;а не каким-нибудь провайдером... <br><br>Вот так сделал:<br>static (inside,outside) 192.168.4.2 192.168.4.2 netmask 255.255.255.255<br><br>192.168.4.2 это ip inside сети. Работает.<br> https://www.opennet.ru/openforum/vsluhforumID6/19372.html#4 Wed, 29 Jul 2009 11:26:34 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Мне нужно именно через NAT, потому как в будущем все именно так <br>&gt;&gt;как вы написали и будет закрываться и доступ будет даваться только <br>&gt;&gt;на определенные адреса. Просто pix нужно воткнуть чтоб стоял (ну вот <br>&gt;&gt;такая вот ситуация сложилась) чтоб видели что он стоит, а потом <br>&gt;&gt;уже буду прописывать доступы. <br>&gt;<br>&gt;Попробуйте тогда создать разрешаюший расширенный список доступа по ip от any к <br>&gt;any и прилепить его на вход к внешнему интерфейсу пикса... может <br>&gt;быть заработает... Убедитесь только, что устройства со стороны внешнего интерфейса пикса <br>&gt;имеют маршрут в вашу внутреннюю сеть. <br><br>Про маршрут писалось с учетом того, что сеть 10.2.2.0 255.255.0.0 обслуживается Вами, а не каким-нибудь провайдером...<br> https://www.opennet.ru/openforum/vsluhforumID6/19372.html#3 Wed, 29 Jul 2009 11:24:12 GMT &gt;[оверквотинг удален]<br>&gt;&gt;для этих серверов нужно написать соответсвующий статический NAT, типа static (inside,outside) <br>&gt;&gt;10.2.2.61 192.168.4.5 netmask 255.255.255.255 <br>&gt;&gt;А вообще, не поленитесь скачать руководство с сайта cisco (подойдет и для <br>&gt;&gt;ASA) и внимательно прочесть, все вопросы отпадут сами собой. <br>&gt;<br>&gt;Мне нужно именно через NAT, потому как в будущем все именно так <br>&gt;как вы написали и будет закрываться и доступ будет даваться только <br>&gt;на определенные адреса. Просто pix нужно воткнуть чтоб стоял (ну вот <br>&gt;такая вот ситуация сложилась) чтоб видели что он стоит, а потом <br>&gt;уже буду прописывать доступы. <br><br>Попробуйте тогда создать разрешаюший расширенный список доступа по ip от any к any и прилепить его на вход к внешнему интерфейсу пикса... может быть заработает... Убедитесь только, что устройства со стороны внешнего интерфейса пикса имеют маршрут в вашу внутреннюю сеть.<br> https://www.opennet.ru/openforum/vsluhforumID6/19372.html#2 Wed, 29 Jul 2009 09:15:37 GMT &gt;[оверквотинг удален]<br>&gt;уровнем безопасности. А вот если нужно в обратную сторону, то нужно <br>&gt;написать соответсвующий разрешающий список доступа и прилипить его на вход к <br>&gt;внешнему интерфейсу. <br>&gt;Если Вы хотите, чтобы внутренняя сеть выходила через NAT, а из внешней <br>&gt;сети были доступны только некоторые сервера этой внутренней сети при обращении <br>&gt;к ним через конкретный ip-адрес внешней сети (и/или по порту), то <br>&gt;для этих серверов нужно написать соответсвующий статический NAT, типа static (inside,outside) <br>&gt;10.2.2.61 192.168.4.5 netmask 255.255.255.255 <br>&gt;А вообще, не поленитесь скачать руководство с сайта cisco (подойдет и для <br>&gt;ASA) и внимательно прочесть, все вопросы отпадут сами собой. <br><br>Мне нужно именно через NAT, потому как в будущем все именно так как вы написали и будет закрываться и доступ будет даваться только на определенные адреса. Просто pix нужно воткнуть чтоб стоял (ну вот такая вот ситуация сложилась) чтоб видели что он стоит, а потом уже буду прописывать доступы.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/19372.html#1 Wed, 29 Jul 2009 09:07:24 GMT &gt;[оверквотинг удален]<br>&gt; inspect skinny <br>&gt; inspect sunrpc <br>&gt; inspect xdmcp <br>&gt; inspect sip <br>&gt; inspect netbios <br>&gt; inspect tftp <br>&gt;! <br>&gt;service-policy global_policy global <br>&gt;Cryptochecksum:60838792b0b7f5d4dc6d245532cfd8be <br>&gt;: end <br><br>Вы для себя сначала определитесь чего вы хотите сделать, а лучше спросить у более опытного коллеги.<br>Если Вы хотите, чтобы вся внутренняя сеть была доступна из вне, то и нефиг ее тогда выводить через NAT. Трафик и так прекрасно пойдет через интерфейс с большим уровнем безопасности на интефейс с меньшим уровнем безопасности. А вот если нужно в обратную сторону, то нужно написать соответсвующий разрешающий список доступа и прилипить его на вход к внешнему интерфейсу.<br>Если Вы хотите, чтобы внутренняя сеть выходила через NAT, а из внешней сети были доступны только некоторые сервера этой внутренней сети при обращении к ним через конкретный ip-адрес внешней сети (и/или по порту), то для этих серверов нужно написать соответсвующий статический NAT, типа static (inside,outside