pete.db 10 Geschrieben 29. August 2008 Melden Teilen Geschrieben 29. August 2008 Hallo, kurze Frage zum Thema nat 0. Ich habe eine ASA mit 3 Interfaces (intern 192.168.1.0, extern und dmz 192.168.2.0). Nat würde ich hier grundlegend folgendermaßen einrichten: von intern nach extern: nat (intern) 5 192.168.1.0 255.255.255.0 global (extern) 5 interface von der dmz nach extern(damit sich die dmz-server z.B. Updates ziehen können): nat (dmz) 5 192.168.2.0 255.255.255.0 von intern in die dmz (damit ich von intern Zugriff auf die DB-Server in der dmz habe): global (dmz) 5 interface Eine zweite ASA habe ich an einem anderen Standort per VPN angebunden. Das interne Netz vom zweiten Standort soll auf das interne und die dmz vom ersten Standort zugreifen, daher zusätzlich: nat (intern) 0 access-list vpnzugriff nat (dmz) 0 access-list vpnzugriff In der ACL vpnzugriff steht "permit ip internes_netz_standort1 auf internes_netz_standort2" und "permit ip dmz_netz_standort1 auf internes_netz_standort2". Weiß zwar nicht, ob das alles so korrekt ist aber es funktioniert. Zugriff über das VPN, Zugriff nach extern und in die DMZ. Nun mein Problem: Wenn ich aus der DMZ einem Server Zugriff auf eine Maschine im internen Netz geben möchte (beide an Standort 1), so funktioniert dies nur, wenn ich in die ACL "vpnzugriff" den Verkehr von der dmz in das interne Netz (beides Standort 1) generell erlaube. Ich muss also ein permit ip "internes_netz_standort1 auf dmz_netz_standort1" in die ACL hinzufügen. Eigentlich sollte das doch per static und "normaler" ACL funktionieren, oder? Das nat 0 hat doch damit eigentlich erstmal nichts zu tun... Mein Problem dabei ist, dass ich in der ACL zum nat 0 ja keine Ports angeben kann...ich will den Verkehr zwischen DMZ und internem Netz aber natürlich nicht völlig öffnen... Zitieren Link zu diesem Kommentar
pete.db 10 Geschrieben 1. September 2008 Autor Melden Teilen Geschrieben 1. September 2008 Hmm, vielleicht habe ich mich zu kompliziert/zu **** ausgedrückt?! Eigentlich ging es um zwei Fragen: 1: Ist die NAT-Konfiguration so richtig oder sollte man da irgendwas anders regeln? Ich will von intern in die dmz und nach extern, von der dmz nach extern naten. nat (intern) 5 192.168.1.0 255.255.255.0 nat (dmz) 5 192.168.2.0 255.255.255.0 global (extern) 5 interface global (dmz) 5 interface 2: Wie erlaube ich einzelnen Zugriff aus der DMZ in das interne Netz? Normalerweise über static und acl, die ich auf "in interface dmz" binde, oder? In meiner Konstellation muss ich aber den Verkehr zwischen dmz und internem Netz in die ACL vom nat 0 (welche doch eigentlich nur für das VPN ist) eintragen. Sonst kommt nichts aus der dmz im internen netz an. Warum? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.