https://www.opennet.ru/openforum/vsluhforumID6/21617.html Подскажите, возможно ли сделать static nat с интерфейса dmz (security-level 50) на inside(security-level 100)?<br>Существует решение проблемы через identity NAT:<br>!<br>interface Ethernet1<br> nameif inside<br> security-level 100<br> ip address 192.168.99.250 255.255.255.0<br>!<br>interface Ethernet2<br> nameif dmz<br> security-level 50<br> ip address 172.21.111.1 255.255.255.0<br>!<br>nat-control<br>global (outside) 1 х.х.х.х<br>global (dmz) 1 interface<br>nat (dmz) 1 172.21.111.25 255.255.255.255<br>static (inside,dmz) 192.168.99.0 192.168.99.0 netmask 255.255.255.0 <br>static (dmz,inside) 192.168.99.25 172.21.111.25 netmask 255.255.255.255<br><br>но в таком случае смысл в организации dmz пропадает, т.к. внутренняя сеть становится полностью доступной с dmz.<br><br>В общем, задача стоит такая: организация доступа на сервер в dmz с inside интерфейса по локальному адресу(т.е. 192.168.99.х) с сохранением внутренних ip адресов. При этом не должна теряться функциональность dmz. <br><br>P.S. Static NAT с интерфейса outside на dmz работает нормально. Проблема и https://www.opennet.ru/openforum/vsluhforumID6/21617.html#1 Thu, 16 Sep 2010 13:22:02 GMT Всё работает через Policy NAT.<br>