https://www.opennet.ru/openforum/vsluhforumID6/23614.html Провайдер предоставляет доступ в internet по vlan 357 на наш catalyst 3560 (через порт в trunk-режиме)<br>Выделенная нам подсеть провайдером:<br>62.x.x.48 255.255.255.240<br>шлюз провайдера:<br>62.x.x.49<br>Есть большое желание спрятать в DMZ за имеющейся cisco asa 5510 сервера. (В данный момент пока пробую на одном сервере)<br><br>Вот конфиг с asa<br><br>ASA Version 7.0(8)<br>!<br>hostname ciscoasa<br>domain-name *******.ru<br>enable password ******* encrypted<br>passwd ******* encrypted<br>names<br>dns-guard<br>!<br>interface Ethernet0/0<br> nameif outside<br> security-level 0<br> ip address 62.x.x.55 255.255.255.240<br>!<br>interface Ethernet0/1<br> nameif DMZ<br> security-level 50a<br> ip address 192.168.7.2 255.255.255.0<br>!<br>interface Ethernet0/2<br> nameif inside<br> security-level 100<br> ip address 192.168.12.2 255.255.255.0<br>!<br>interface Management0/0<br> nameif management<br> security-level 100<br> ip address 192.168.1.1 255.255.255.0<br> management-only<br>!<br>ftp mode passive<br>access-list OUTSIDE_IN extended permit tcp any host 62.x.x.54 eq www<br>pager lines 24<br>l https://www.opennet.ru/openforum/vsluhforumID6/23614.html#5 Tue, 09 Apr 2013 11:34:11 GMT &gt;[оверквотинг удален]<br>&gt; Не помогло...<br>&gt; Сформулирую более конкретные вопросы: <br>&gt; 1.Может ли быть проблема в том, что шлюз 62.x.x.49 не знает что <br>&gt; адрес 62.х.х.54 надо искать за 62.х.х.55 (62.х.х.55 - адрес asa)?<br>&gt; 2.Как сделать проброс 62.х.х.55 на произвольный сервер за asa? При попытке написать <br>&gt; static (DMZ,outside) 62.183.98.54 192.168.7.4 netmask 255.255.255.255 <br>&gt; ERROR: Static PAT using the interface requires the use of the 'interface' <br>&gt; keyword instead of the interface IP address <br>&gt; (Надеюсь, идея понятна: наклепать подинтерфейсов, на каждый реальный ip, и сделать проброс <br>&gt; конкретного подинтерфейса на конкретный сервер) <br><br>у меня так сделано:<br>static (lan,wan) tcp interface 1541 (адрес сервера внутри сети) 1541 netmask 255.255.255.255 <br>static (lan,wan) tcp interface 1560 (адрес сервера внутри сети) netmask 255.255.255.255 <br>static (lan,wan) tcp interface www (адрес сервера внутри сети) www netmask 255.255.255.255<br> https://www.opennet.ru/openforum/vsluhforumID6/23614.html#4 Tue, 13 Mar 2012 10:27:22 GMT &gt;[оверквотинг удален]<br>&gt;&gt; access-list OUTSIDE_IN extended permit tcp any host 62.x.x.54 eq www <br>&gt;&gt; В итоге с таким конфигом и такой подачей инета имею: <br>&gt;&gt; трассировка к asa работает, трассировака к ip 62.x.x.54 не работает... и по <br>&gt;&gt; данному ip из инета сервер не доступен...<br>&gt; я бы попробовал вот так: access-list OUTSIDE_IN extended permit tcp any host <br>&gt; 192.168.7.4 eq 80 <br>&gt; у меня по аналогичному правилу есть доступ по 80 порту <br>&gt; еще бы поробовал для начала открыть доступ any any к серверу, посмотреть <br>&gt; все ли отрабытывает правильно, а потом уже закрывал <br>&gt; во всяком случае у нас совпадают конфиги и IOS <br><br>Не помогло...<br>Сформулирую более конкретные вопросы:<br>1.Может ли быть проблема в том, что шлюз 62.x.x.49 не знает что адрес 62.х.х.54 надо искать за 62.х.х.55 (62.х.х.55 - адрес asa)?<br>2.Как сделать проброс 62.х.х.55 на произвольный сервер за asa? При попытке написать<br>static (DMZ,outside) 62.183.98.54 192.168.7.4 netmask 255.255.255.255<br>ERROR: Static PAT using the interface requires the u https://www.opennet.ru/openforum/vsluhforumID6/23614.html#3 Tue, 13 Mar 2012 08:34:46 GMT &gt; ciscoasa# sh run access-list <br>&gt; access-list OUTSIDE_IN extended permit tcp any host 62.x.x.54 eq www <br>&gt; В итоге с таким конфигом и такой подачей инета имею: <br>&gt; трассировка к asa работает, трассировака к ip 62.x.x.54 не работает... и по <br>&gt; данному ip из инета сервер не доступен...<br><br>я бы попробовал вот так: access-list OUTSIDE_IN extended permit tcp any host 192.168.7.4 eq 80<br>у меня по аналогичному правилу есть доступ по 80 порту<br>еще бы поробовал для начала открыть доступ any any к серверу, посмотреть все ли отрабытывает правильно, а потом уже закрывал <br>во всяком случае у нас совпадают конфиги и IOS<br> https://www.opennet.ru/openforum/vsluhforumID6/23614.html#2 Tue, 13 Mar 2012 08:20:30 GMT &gt;&gt; Провайдер предоставляет доступ в internet по vlan 357 на наш catalyst <br>&gt;&gt; <br>&gt;&gt; Что я сделал неверно?<br>&gt;&gt; П.С. Мне нужен доступ к серверу по www на 80 порт.<br>&gt;&gt; Возможно ли что нужна дополнительная настройка на оборудовании провайдера для работы в <br>&gt;&gt; такой конфигурации?<br>&gt; покажите вывод комманды sh run access-list <br><br>ciscoasa# sh run access-list<br>access-list OUTSIDE_IN extended permit tcp any host 62.x.x.54 eq www<br><br>В итоге с таким конфигом и такой подачей инета имею:<br>трассировка к asa работает, трассировака к ip 62.x.x.54 не работает... и по данному ip из инета сервер не доступен...<br> https://www.opennet.ru/openforum/vsluhforumID6/23614.html#1 Tue, 13 Mar 2012 08:06:09 GMT &gt; Провайдер предоставляет доступ в internet по vlan 357 на наш catalyst <br>&gt;<br>&gt; Что я сделал неверно?<br>&gt; П.С. Мне нужен доступ к серверу по www на 80 порт.<br>&gt; Возможно ли что нужна дополнительная настройка на оборудовании провайдера для работы в <br>&gt; такой конфигурации?<br><br>покажите вывод комманды sh run access-list<br>