LINUX.ORG.RU

Перенаправление ASA

 ,


0

1

Привет ЛОР. Подскажи разум ЛОРа как на Cisco ASA сделать такую вещь.

Сидим внутри локалки и введя скажем в браузере _внешний_ ip попадаем к себе же, но как бы извне. Заранее спасибо

★★★
Ответ на: комментарий от Demacr

Объясню подробнее. Есть машина в локалке, имеется аса с натом, при приходе на асу трафика скажем на 1.2.3.4:80 извне - натится на другую машину в локалке. А как перейти на 1.2.3.4:80 изнутри? Попадаешь в реальности на одну и ту же машину, но трафик воспринимается как внешний. Не помню, находил где то, но давно..

anonymous
()
Ответ на: комментарий от robot12

Боже, глянул - и чуть сердце не хватило. Маршрутизация на Cisco выглядит еще более-менее, но что касается ACL-ов и NAT-ов - это лютый треш. Так специально сделали, чтобы покупатели сертификатов чувствовали что не зря отвалили денег?

Turbid ★★★★★
()
Ответ на: комментарий от Turbid

Да, у меня было такое же. Так сказать NAT без заковырок я настроил достаточно быстро, а вот такие всякие тонкости довольно сложно найти. Ты еще не настраивал access list'ами доступ в инет (например всем запрет на список сайтов, некоторым доступ на все сайты). Там почему то работала логика отрицания, типа создаешь правила для объектов которые не будут попадать под правило, а не наоборот как должно бы быть. И инфы о таком поведении я так и не нашел пока сам не выяснил эмпирическим путем. Ответ - да. Так сделали специально, чтоб без сертификата и обучения ты нихрена сделать не смог, так как куча неявных вещей которые абсолютно перестраивают результат, либо вообще дают нерабочий конфиг.

partyzan ★★★
() автор топика
Ответ на: комментарий от robot12

Это Вы Фантомас к чему? То, что сделать такое невозможно? Меня уверяют, что это достаточно легко, но не говорят как). Кстати IOS 8.2.5

partyzan ★★★
() автор топика
Ответ на: комментарий от partyzan

Там почему то работала логика отрицания, типа создаешь правила для объектов которые не будут попадать под правило, а не наоборот как должно бы быть

потому что запрещено все, что не разрешено. И это логично.

leave ★★★★★
()
Ответ на: комментарий от partyzan

Что конкретно надо сделать-то?

Настроен static PAT из внешнего 1.2.3.4:80 на внутренний 10.20.30.40:80 и хочется изнутри пойти именно на 1.2.3.4:80 и попасть на 10.20.30.40:80?
(Не буду спрашивать нафиг такое надо.)

Или ходим на http://www.partyzan.rf, который расположенным снаружи DNS-ом резолвится в 1.2.3.4, а надо чтобы внутренний клиент шёл на 10.20.30.40?

frob ★★★★★
()
Ответ на: комментарий от frob

С виду оба варианта подходят, но второй вариант более близок. Попробую еще объяснить. На машине расположенной внутри сети открываем скажем браузер и в строку адреса прописываем 1.2.3.4:80. Данный адрес является белым в который натится вся локалка и весь траф из локалки направляется в 1.2.3.4, а весь трафик с 1.2.3.4 направляется на провайдерский шлюз 1.2.3.5. Нужно сделать так, чтобы введя этот 1.2.3.4:80 скажем в браузере на машине находящейся в локальной сети (скажем 192.168.1.1) был не реальный (серый, (например 192.168.1.2) не маршрутизируемый в инетнете адрес) а белый 1.2.3.4. Только вот непонятно как именно это сделать и нужно заворачивать трафик назад до попадания его в провайдерский шлюз или подменять адреса так, как будто трафик пришел снаружи.

partyzan ★★★
() автор топика
Последнее исправление: partyzan (всего исправлений: 1)
Ответ на: комментарий от partyzan

был не реальный (серый, (например 192.168.1.2) не маршрутизируемый в инетнете адрес) а белый

Не распарсил :)

Вопрос - где должен быть белый ?

robot12 ★★★★★
()
Ответ на: комментарий от robot12

Белый должен быть в браузере, в адресной строке.

Нужно зайти в локалку по внешнему (белому) адресу изнутри. Сейчас если я в строке браузерной напишу свой внешний ip находясь в локалке сервер недоступен. Если я извне наберу тот же (внешний, белый) ip, то с помощью nat трафик смапится на нужную машину и порт и все работает.

partyzan ★★★
() автор топика
Последнее исправление: partyzan (всего исправлений: 1)
Ответ на: комментарий от Deleted

Да, вот увидел и вспомнил термин). Спасибо други.

partyzan ★★★
() автор топика
Ответ на: комментарий от robot12

Моего случая я там не увидел, там типичная настройка nat и доступ к вебсерверу с его помощью да и там по 8.3.

partyzan ★★★
() автор топика
Ответ на: комментарий от Deleted

Все получилось, спасибо добрый человек.

partyzan ★★★
() автор топика
Ответ на: комментарий от partyzan

http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-gen...

Hairpinning по ссылке сделает почти то что описано в первом варианте. Правда с т.з. сервера трафик будет приходить не снаружи, а от ASA. Чтобы было «как бы снаружи» надо поменять interface в «global (inside) 1 interface» на что-нибудь левое.

Но скорее всего тебе всё-таки нужен DNS doctoring — второй вариант (первый по ссылке).

frob ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.