https://opennet.ru/openforum/vsluhforumID6/21489.html Здравствуйте. Есть следующий вопрос по нату на ASA 5505. <br><br>Дано:<br>Рабочая станция 192.168.1.10/24<br>Сервер 192.168.1.20/24<br>ASA 5505 192.168.1.1/24 (inside)<br> 11.22.33.44/30 (outside)<br><br>На сервере есть некий сервис, работающий на порту 6000/tcp, на файерволе настроен static nat для проброски этого порта снаружи. Теперь стоит задача, чтобы рабочая станция обратилась к адресу 11.22.33.44:6000 и нормально подключилась. То есть нужно обратиться к inside интерфейсу через outside. Можно ли такое сделать на этой железке? Варианты с DNS и редактированием файла hosts прошу не предлагать. Спасибо.<br> https://opennet.ru/openforum/vsluhforumID6/21489.html#6 Mon, 23 Aug 2010 11:54:23 GMT &gt;Хороший вопрос. Сам с такой же ситуацией столкнулся, потом плюнул - не <br>&gt;было времени разбираться. Обошелся на время вариантом с DNS. <br><br>Временно сделал костыль - с рабочая станция по pptp подключается к серваку другого офиса и через его айпишник ходит куда нужно )) Через жопу, конечно, но надо чтобы хоть как-то работало. <br> https://opennet.ru/openforum/vsluhforumID6/21489.html#5 Mon, 23 Aug 2010 11:23:28 GMT Хороший вопрос. Сам с такой же ситуацией столкнулся, потом плюнул - не было времени разбираться. Обошелся на время вариантом с DNS.<br><br> https://opennet.ru/openforum/vsluhforumID6/21489.html#4 Mon, 23 Aug 2010 09:49:57 GMT &gt;&gt;не понятно в чем проблема? Пазрешаете станции выходить наружу и пусть она <br>&gt;&gt;цепляется на внешний адрес.<br>&gt;<br>&gt;Не получится так. В данном случае получается, что клиентом выступает сама ASA <br>&gt;и пакеты будут передаваться на порт 6000 файервола, а не сервера. <br>&gt;В Линуксе в iptables такая проблема решается добавлением правила -t nat <br>&gt;-A OUTPUT -d 11.22.33.44 -p tcp --dport 6000 -j DNAT --to-destination <br>&gt;192.168.1.20 (адрес сервера). Можно ли сделать тоже самое на Циске? <br><br>Ну, обратится она на 6000 порт 11.22.33.44, далее через правило, которое у вас прописано, попадает обратно на внутренний интерфейс. По идее все должно работать.<br>МОжет быть у вас не настроен NAT для выхода изнутри наружу?<br> https://opennet.ru/openforum/vsluhforumID6/21489.html#3 Mon, 23 Aug 2010 05:29:27 GMT &gt;не понятно в чем проблема? Пазрешаете станции выходить наружу и пусть она <br>&gt;цепляется на внешний адрес.<br><br>Не получится так. В данном случае получается, что клиентом выступает сама ASA и пакеты будут передаваться на порт 6000 файервола, а не сервера. В Линуксе в iptables такая проблема решается добавлением правила -t nat -A OUTPUT -d 11.22.33.44 -p tcp --dport 6000 -j DNAT --to-destination 192.168.1.20 (адрес сервера). Можно ли сделать тоже самое на Циске?<br> https://opennet.ru/openforum/vsluhforumID6/21489.html#1 Mon, 23 Aug 2010 02:01:45 GMT &gt;На сервере есть некий сервис, работающий на порту 6000/tcp, на файерволе настроен <br>&gt;static nat для проброски этого порта снаружи. Теперь стоит задача, чтобы <br>&gt;рабочая станция обратилась к адресу 11.22.33.44:6000 и нормально подключилась. То есть <br>&gt;нужно обратиться к inside интерфейсу через outside. Можно ли такое сделать <br>&gt;на этой железке? Варианты с DNS и редактированием файла hosts прошу <br>&gt;не предлагать. Спасибо. <br><br>не понятно в чем проблема? Пазрешаете станции выходить наружу и пусть она цепляется на внешний адрес. Права не понятно зачем это надо.<br>