URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21489
[ Назад ]

Исходное сообщение
"ASA5505 и 'хитрый' нат"
Отправлено sintez , 21-Авг-10 16:21

Здравствуйте. Есть следующий вопрос по нату на ASA 5505.
Дано:
Рабочая станция 192.168.1.10/24
Сервер 192.168.1.20/24
ASA 5505 192.168.1.1/24 (inside)
11.22.33.44/30 (outside)
На сервере есть некий сервис, работающий на порту 6000/tcp, на файерволе настроен static nat для проброски этого порта снаружи. Теперь стоит задача, чтобы рабочая станция обратилась к адресу 11.22.33.44:6000 и нормально подключилась. То есть нужно обратиться к inside интерфейсу через outside. Можно ли такое сделать на этой железке? Варианты с DNS и редактированием файла hosts прошу не предлагать. Спасибо.

Содержание

ASA5505 и 'хитрый' нат,crash, 06:01 , 23-Авг-10
- ASA5505 и 'хитрый' нат,sintez, 09:29 , 23-Авг-10
  - ASA5505 и 'хитрый' нат,lumenous, 13:49 , 23-Авг-10
    - ASA5505 и 'хитрый' нат,lecaf, 15:23 , 23-Авг-10
      - ASA5505 и 'хитрый' нат,sintez, 15:54 , 23-Авг-10

Сообщения в этом обсуждении

"ASA5505 и 'хитрый' нат"
Отправлено crash , 23-Авг-10 06:01

>На сервере есть некий сервис, работающий на порту 6000/tcp, на файерволе настроен
>static nat для проброски этого порта снаружи. Теперь стоит задача, чтобы
>рабочая станция обратилась к адресу 11.22.33.44:6000 и нормально подключилась. То есть
>нужно обратиться к inside интерфейсу через outside. Можно ли такое сделать
>на этой железке? Варианты с DNS и редактированием файла hosts прошу
>не предлагать. Спасибо.
не понятно в чем проблема? Пазрешаете станции выходить наружу и пусть она цепляется на внешний адрес. Права не понятно зачем это надо.

"ASA5505 и 'хитрый' нат"
Отправлено sintez , 23-Авг-10 09:29

>не понятно в чем проблема? Пазрешаете станции выходить наружу и пусть она
>цепляется на внешний адрес.
Не получится так. В данном случае получается, что клиентом выступает сама ASA и пакеты будут передаваться на порт 6000 файервола, а не сервера. В Линуксе в iptables такая проблема решается добавлением правила -t nat -A OUTPUT -d 11.22.33.44 -p tcp --dport 6000 -j DNAT --to-destination 192.168.1.20 (адрес сервера). Можно ли сделать тоже самое на Циске?

"ASA5505 и 'хитрый' нат"
Отправлено lumenous , 23-Авг-10 13:49

>>не понятно в чем проблема? Пазрешаете станции выходить наружу и пусть она
>>цепляется на внешний адрес.
>
>Не получится так. В данном случае получается, что клиентом выступает сама ASA
>и пакеты будут передаваться на порт 6000 файервола, а не сервера.
>В Линуксе в iptables такая проблема решается добавлением правила -t nat
>-A OUTPUT -d 11.22.33.44 -p tcp --dport 6000 -j DNAT --to-destination
>192.168.1.20 (адрес сервера). Можно ли сделать тоже самое на Циске?
Ну, обратится она на 6000 порт 11.22.33.44, далее через правило, которое у вас прописано, попадает обратно на внутренний интерфейс. По идее все должно работать.
МОжет быть у вас не настроен NAT для выхода изнутри наружу?

"ASA5505 и 'хитрый' нат"
Отправлено lecaf , 23-Авг-10 15:23

Хороший вопрос. Сам с такой же ситуацией столкнулся, потом плюнул - не было времени разбираться. Обошелся на время вариантом с DNS.

"ASA5505 и 'хитрый' нат"
Отправлено sintez , 23-Авг-10 15:54

>Хороший вопрос. Сам с такой же ситуацией столкнулся, потом плюнул - не
>было времени разбираться. Обошелся на время вариантом с DNS.
Временно сделал костыль - с рабочая станция по pptp подключается к серваку другого офиса и через его айпишник ходит куда нужно )) Через жопу, конечно, но надо чтобы хоть как-то работало.