Настройка проброса портов / Port Forwarding в Cisco [2]

  • Cisco
Первая часть темы про проброс портов была о решении задачи в Microsoft Windows 2003 Server. Теперь рассмотрим как сделать тоже самое на оборудовании Cisco.

Задачей будет настроить трансляцию с внешних адресов 200.100.50.56, 200.100.50.57 на адреса 192.168.1.1 — ftp сервис, 192.168.1.2 — веб сервис, 172.18.9.202 — все порты с адреса 200.100.50.57.

Схема подключения наших серверов:
Проброс портов  Port Forwarding в Cisco pix asa

Для проброса портов в Cisco PIX / ASA добавим в конфигурацию nat трансляцию:

Пробросим FTP
static (inside,outside) tcp 200.100.50.56 ftp-data 192.168.1.1 ftp-data netmask 255.255.255.255 
static (inside,outside) tcp 200.100.50.56 ftp 192.168.1.1 ftp netmask 255.255.255.255

Пробросим WEB
static (inside,outside) tcp 200.100.50.56 www 192.168.1.2 www netmask 255.255.255.255 

Пробросим все порты на адрес в dmz зоне
static (dmz,outside) 200.100.50.57 172.18.9.202 netmask 255.255.255.255 
static (dmz,inside) 200.100.50.57 172.18.9.202 netmask 255.255.255.255 

Подробней настройку PIX можно посмотреть в другой статье — Конфигурация Cisco PIX 515

Тоже самое в IOS будет выглядеть примерно так:

ip nat inside source static tcp 192.168.1.1 21 200.100.50.56 21
ip nat inside source static tcp 192.168.1.2 80 200.100.50.56 80
ip nat inside source static tcp 172.18.9.202 200.100.50.57 extendable

14 комментариев

timmer
Еще бы увидеть часть конфига с настройкой интерфейсов, nat, global, acl… (для АСЫ) :)
admin
Асу жду поставку с неделю на неделю :) Как настрою обязательно отпишусь
timmer
Супер! А то уже голову сломал как это сделать. Проброс с одного из внешних ип на конкретный ип в ЛАН делаю, а в дмз — хоть тресни не удается :)
Буду ждать с нетерпением! :)
admin
А нет случайно утилиты PIX to ASA Migration Tool? А то с сайта скачать доступа нет :(
timmer
Нету. Я с циско только-только начал работать, еще не обзавелся «инвентарем» :)
timmer
Вот тут есть ссыль на эту утилиту.
timmer
Ссылка не вставилась(
admin
Я только для начала планировал попробовать с помощью утилиты sysadminblog.ru/blog/cisco/180.html переход сделать
admin
Перенес конфиг с PIX 515 на ASA 5520 практически без изменений. Прошивка в ASA 8.2. Конфиг почти такой
timmer
Кстати, если не ошибаюсь, для того, чтоб второй «внешний» ip был доступен, надо дописать еще пару строк:

access-list <name_acl> permit tcp any host xxx.xxх.xxх.xxx
access-group <name_acl> in interface outside
admin
Ну да :) Я поэтому и написал, подробней тут sysadminblog.ru/blog/cisco/12.html
timmer
тоцна!)
А случаем нет утилиты CSD (Cisco Secure Desctop) версии 3.5? А то с циско.ком качать не дает, а в инете не нашел… Хочется не только в ком.строке писать, но и графический интерфейс опробовать :)
admin
Неа, графический интерфейс на циске бэээ :)