Настройка проброса портов / Port Forwarding в Cisco [2]

Первая часть темы про проброс портов была о решении задачи в Microsoft Windows 2003 Server. Теперь рассмотрим как сделать тоже самое на оборудовании Cisco.

Задачей будет настроить трансляцию с внешних адресов 200.100.50.56, 200.100.50.57 на адреса 192.168.1.1 — ftp сервис, 192.168.1.2 — веб сервис, 172.18.9.202 — все порты с адреса 200.100.50.57.

Схема подключения наших серверов:
Проброс портов  Port Forwarding в Cisco pix asa

Для проброса портов в Cisco PIX / ASA добавим в конфигурацию nat трансляцию:

Пробросим FTP
static (inside,outside) tcp 200.100.50.56 ftp-data 192.168.1.1 ftp-data netmask 255.255.255.255 
static (inside,outside) tcp 200.100.50.56 ftp 192.168.1.1 ftp netmask 255.255.255.255

Пробросим WEB
static (inside,outside) tcp 200.100.50.56 www 192.168.1.2 www netmask 255.255.255.255 

Пробросим все порты на адрес в dmz зоне
static (dmz,outside) 200.100.50.57 172.18.9.202 netmask 255.255.255.255 
static (dmz,inside) 200.100.50.57 172.18.9.202 netmask 255.255.255.255 

Подробней настройку PIX можно посмотреть в другой статье — Конфигурация Cisco PIX 515

Тоже самое в IOS будет выглядеть примерно так:

ip nat inside source static tcp 192.168.1.1 21 200.100.50.56 21
ip nat inside source static tcp 192.168.1.2 80 200.100.50.56 80
ip nat inside source static tcp 172.18.9.202 200.100.50.57 extendable

14 комментариев

avatar
Еще бы увидеть часть конфига с настройкой интерфейсов, nat, global, acl… (для АСЫ) :)
avatar
Асу жду поставку с неделю на неделю :) Как настрою обязательно отпишусь
avatar
Супер! А то уже голову сломал как это сделать. Проброс с одного из внешних ип на конкретный ип в ЛАН делаю, а в дмз — хоть тресни не удается :)
Буду ждать с нетерпением! :)
avatar
А нет случайно утилиты PIX to ASA Migration Tool? А то с сайта скачать доступа нет :(
avatar
Нету. Я с циско только-только начал работать, еще не обзавелся «инвентарем» :)
avatar
Вот тут есть ссыль на эту утилиту.
avatar
Ссылка не вставилась(
avatar
avatar
Я только для начала планировал попробовать с помощью утилиты sysadminblog.ru/blog/cisco/180.html переход сделать
avatar
Перенес конфиг с PIX 515 на ASA 5520 практически без изменений. Прошивка в ASA 8.2. Конфиг почти такой
avatar
Кстати, если не ошибаюсь, для того, чтоб второй «внешний» ip был доступен, надо дописать еще пару строк:

access-list <name_acl> permit tcp any host xxx.xxх.xxх.xxx
access-group <name_acl> in interface outside
avatar
Ну да :) Я поэтому и написал, подробней тут sysadminblog.ru/blog/cisco/12.html
avatar
тоцна!)
А случаем нет утилиты CSD (Cisco Secure Desctop) версии 3.5? А то с циско.ком качать не дает, а в инете не нашел… Хочется не только в ком.строке писать, но и графический интерфейс опробовать :)
avatar
Неа, графический интерфейс на циске бэээ :)
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.