Добрый день.
Есть аса, которая одним интерфейсом смотрит в дмз (сеть 192.168.254.184), в которой находится сервер 192.168.254.186, другим интерфейсом - в локальную сеть. Есть необходимость доступаться к серверу из одних сетей (перечисленных в object-group TEMP)через нат (адрес 172.16.8.177 ), из других-без ната.
Соответсвенно, на определенные сети нужно выходить с натом, на другие - без. Например, с сервера  192.168.254.186 в сеть 192.168.254.184 нужно идти без ната.
Подскажите, пожалуйста, наболее рациональное решение.

На данный момент такие настройки:
access-list Nat extended permit ip host 192.168.254.186 object-group TEMP
access-list NoNAT extended permit ip 192.168.254.184 255.255.255.248 10.5.254.160 255.255.255.248

static (dmz,router) 172.16.8.177  access-list Nat
static (dmz,router) 192.168.254.184  access-list NoNAT

Какие недостатки может иметь существующее решение?

• Asa, NAT ,chocholl, 21:01 , 21-Апр-08
• Asa, NAT ,gagner, 21:12 , 23-Апр-08
  • Asa, NAT ,Владимир, 10:26 , 24-Апр-08

у асы же есть комманда nat 0, специально для таких случаев.

как-нибудь так:
nat (dmz) 0 access-list NoNAT
static (dmz,router) 172.16.8.177  access-list Nat

access-list NoNAT extended permit ip [сеть, откуда идем без ната] host 192.168.254.186
access-list Nat extended permit ip host 192.168.254.186 object-group TEMP

вообще, 192.168.254.186 находится в сети 192.168.254.184/29... Вы уверены, что аса причастна к "с сервера  192.168.254.186 в сеть 192.168.254.184 нужно идти без ната" ? ))  

>[оверквотинг удален]
>static (dmz,router) 172.16.8.177  access-list Nat
>
>access-list NoNAT extended permit ip [сеть, откуда идем без ната] host 192.168.254.186
>
>access-list Nat extended permit ip host 192.168.254.186 object-group TEMP
>
>
>вообще, 192.168.254.186 находится в сети 192.168.254.184/29... Вы уверены, что аса причастна к
>"с сервера  192.168.254.186 в сеть 192.168.254.184 нужно идти без ната"
>? ))

:) Думал о сети 10.5.254.160 /29, написал другую - 192.168.254.184/29