Witam.
Czy możliwe jest żeby bez ustawiania nata na asie sieć działała.
Poniżej załączam schemat sieci.
Na hoscie(4) ustawiony jest ip 192.168.1.3 i włączony apache z testową stronką. Host ten podpięty jest do interface inside na asie.
Host 209.165.200.226 to host(3) podpięty do interface outside, który przez przeglądarkę łączy się ze strona na hoście(nr 4).
https://postimg.org/image/6ob3wxjsf/
https://postimg.org/image/6t9g0z321/
https://postimg.org/image/8g1euhizr/
Ustawiłem tylko ACL na inteface outside i wszystko ładnie działa czyli host 4 odpala stronę z apacha na hoście 3.
Zdziwiłem się ponieważ myślałem, że trzeba jeszcze ustawić nat na asie aby to działało a tu zdziwienie bo działa bez tego.
Czy to jest normalne czy jednak nie?
Pozdrawiam
Asa8.4(2) gns3
Re: Asa8.4(2) gns3
Pokaż konfiguracje ASY - całą - to może ktoś Ci odpisze.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
Re: Asa8.4(2) gns3
Witam o to running-config:
Kod: Zaznacz cały
ciscoasa(config)# sh run
: Saved
:
ASA Version 8.4(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface GigabitEthernet0
nameif inside
security-level 100
ip address 192.168.1.2 255.255.255.0
!
interface GigabitEthernet1
nameif outside
security-level 0
ip address 209.165.200.225 255.255.255.248
!
interface GigabitEthernet2
shutdown
no nameif
no security-level
no ip address
!
<--- More --->
interface GigabitEthernet3
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet4
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet5
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
access-list out_acl extended permit tcp host 209.165.200.226 host 192.168.1.3 eq www
pager lines 24
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
<--- More --->
no asdm history enable
arp timeout 14400
access-group out_acl in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd option 3 ip 209.165.200.225
!
dhcpd address 192.168.1.3-192.168.1.10 inside
dhcpd option 3 ip 192.168.1.2 interface inside
dhcpd enable inside
!
<--- More --->
!
dhcpd address 209.165.200.226-209.165.200.230 outside
dhcpd enable outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
!
prompt hostname context
call-home reporting anonymous prompt 2
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
crashinfo save disable
Cryptochecksum:c2d8423c5a5b9587fc46f37a81d5e19b
: end
Re: Asa8.4(2) gns3
A dlaczego miało by nie działać? Sieci masz jako connected, ACLka jest poprawna, ASA domyślnie w trybie routed. Zakres adresów RFC1918 jest tak samo rutowalny jak każdy inny. U operatora oczywiście by to nie przeszło, ale tylko dlatego, że operator by wyciął prywatę. I tu właśnie potrzebny jest NAT. NAT był również potrzebny przy softach 8.2 i niżej, ze względu na nat-control. Wówczas wszystk omusiało iść przez NAT. Od 8.3 NAT jest konieczny w dwóch wypadkach: 1 - z prywaty do Internetu, 2 - jeśli ASA robi za VPN gateway, jak NAT exclusion. Oczywiście jest mnóstwo innych scenariuszy, gdzie NAT będzie konieczny, ale te dwa to po prostu klasyka.
“Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying.” - A.C.Clark
Re: Asa8.4(2) gns3
Dzięki za odpowiedź. Już kumam o co chodzi symulator to jednak nie rzeczywistość i w tym przypadku obejdzie się bez NATa.
Tak sobie pomału czytam i się uczę wszystkiego co związane z sieciami, a szczególnie z firmy z Golden Gate w znaku firmowym. Już stworzyłem nową topologię i będę miał kilka pytań ale to już w następnym poście. Liczę na waszą pomoc.
Pozdrawiam.
Tak sobie pomału czytam i się uczę wszystkiego co związane z sieciami, a szczególnie z firmy z Golden Gate w znaku firmowym. Już stworzyłem nową topologię i będę miał kilka pytań ale to już w następnym poście. Liczę na waszą pomoc.
Pozdrawiam.