Мда, не задалась неделька. Пока осваивал интерфейс онлайнового редактора пару раз потерял набранный текст :( Моя любимая вставка средней кнопкой мышы закидывает строку из буфера обмена в гугловый поиск. Набранный текст ессно при этом теряется.
Ну да ближе к делу. Некоторое время был задан вопрос, как нарисовать нат для хоста, так что б натились только пакеты для определенного списка получателей. Это при условии, что асашка в хозяйстве ровно одна.
Есть типовое решение, если память мне не изменяет, доступно прямо на кошкином сайте. В моем случае сделано так:
В acl описываем трафик, который планируем натить.
access-list smtp2ipsec extended permit ip host 192.168.11.11 host 213.180.204.8
access-list smtp2ipsec extended permit ip host 192.168.11.11 host 172.18.4.3
access-list smtp2ipsec extended permit ip host 192.168.11.11 host 172.18.6.2
access-list smtp2ipsec extended permit ip host 192.168.11.11 host 172.18.10.2
и транслируем все, что попадает под аксес лист в 10.0.0.50
static (dmz,to_ipsec) 10.0.0.50 access-list smtp2ipsec
Пакеты, не попадающие в acl, проходят без изменений, что избавляет от головной боли с собственными сотрудниками, у которых при использовании безусловного статика почему-то "все перестает работать". Тут стоить заметить, что "перестает работать" на удаленных площадках, связь с которыми все через туже асашку, а во внутренней сети, что за inside'ом, ессно все пучком.
Ну да ближе к делу. Некоторое время был задан вопрос, как нарисовать нат для хоста, так что б натились только пакеты для определенного списка получателей. Это при условии, что асашка в хозяйстве ровно одна.
Есть типовое решение, если память мне не изменяет, доступно прямо на кошкином сайте. В моем случае сделано так:
В acl описываем трафик, который планируем натить.
access-list smtp2ipsec extended permit ip host 192.168.11.11 host 213.180.204.8
access-list smtp2ipsec extended permit ip host 192.168.11.11 host 172.18.4.3
access-list smtp2ipsec extended permit ip host 192.168.11.11 host 172.18.6.2
access-list smtp2ipsec extended permit ip host 192.168.11.11 host 172.18.10.2
и транслируем все, что попадает под аксес лист в 10.0.0.50
static (dmz,to_ipsec) 10.0.0.50 access-list smtp2ipsec
Пакеты, не попадающие в acl, проходят без изменений, что избавляет от головной боли с собственными сотрудниками, у которых при использовании безусловного статика почему-то "все перестает работать". Тут стоить заметить, что "перестает работать" на удаленных площадках, связь с которыми все через туже асашку, а во внутренней сети, что за inside'ом, ессно все пучком.
Комментариев нет:
Отправить комментарий