Вопрос по ASA и ACL для сетей одинаковым security-level :

http://www.cisco.com/image/gif/paws/81815/generic_ports5.gif - примерная схема сети

interface Ethernet0/0
nameif DMZ
security-level 50
ip address 172.16.1.1 255.255.252.0

interface Ethernet0/3
nameif DMZ2
security-level 50
ip address 172.16.2.1 255.255.255.0

Вопрос в следующием - можно или используя только acl (не используюя NAT) разрешать сети DMZ2 подключаться к серверу SRV-DMZ? И пользователям сети DMZ подключаться к серверу SRV-DMZ2?
Или это можно сделать только при помощи nat?

Рутинг везде прописан.

При same-security-traffic permit inter-interface - все ходит в обе стороны, не только на серваки но и вообще между собой DMZ - DMZ2, это понятно.

Но не работают acl, даже когда я пытаюсь симитировать same-security-traffic permit inter-interface !

Правила тривиальны:
access-list acltest extended permit tcp any any
access-group acltest in interface DMZ
access-group acltest out interface DMZ
access-group acltest in interface DMZ2
access-group acltest out interface DMZ2

Устанавливаю соединение на SRV-DMZ2 из сети DMZ и в логах вижу что  Inbound TCP connection denied from DMZ (адреса убрал) to DMZ2 flags SYN  on interface DMZ

Что с acl не так? Или так в принципе не будет работать, нужно через NAT/PAT обязательно делать?

• Вопрос по ASA и ACL для сетей одинаковым security-level,gagner, 18:49 , 03-Апр-09
  • Вопрос по ASA и ACL для сетей одинаковым security-level,andrew278, 20:37 , 03-Апр-09
• Вопрос по ASA и ACL для сетей одинаковым security-level,andrew278, 09:46 , 06-Апр-09
  • Вопрос по ASA и ACL для сетей одинаковым security-level,gagner, 13:12 , 06-Апр-09
    • Вопрос по ASA и ACL для сетей одинаковым security-level,andrew278, 09:24 , 07-Апр-09

насколько я помню, если у портов одинаковый левел - травик между ними не пойдет в принципе. измените левел - и все будет хорошо.

>насколько я помню, если у портов одинаковый левел - травик между ними
>не пойдет в принципе. измените левел - и все будет хорошо.
>

Т.е. только через Nat? Рутингом и ACL никак? Сети-то равноправные, коннеции - двусторонние, юзеры одной сети к сервакам в другой и наоборот. Пачку Nat не хотелось бы плодить.

Или тогда включать same-security-traffic permit inter-interface и блокировать траффик acl-ми?

Не совсем все-таки понятна логика, особенно после ipfw и iptables. =)

Т.е. вариантов нет? Включать same-security-traffic permit inter-interface и блокировать лишний траффик acl-ми?

1. SRV-DMZ - это кто и где?
2. как у тебя ходит трафик (какой?)  DMZ - DMZ2 - я не понимаю. )) по идее при одинаковых security-level'ах пакеты в принципе не ходят между интерфейсами.
3. если абстрагироваться, то, имхо, нет необходимости рисовать асл на in и на out одновременно. добавь permit icmp any any для проверки торжеством пинга.
4. зачем при таком раскладе same-security-traffic permit inter-interface - если честно не понимаю. всегда думала, что это для впнов фишечка.

итого, мне все-таки кажется, что у вас между вашими дмз трафик не ходит. )) не из-за асл и т.п. а из-за секьюрити левелов - сделайте security-level 40 для fa0/0.

>1. SRV-DMZ - это кто и где?

Это сервак в сети DMZ.

Вопрос был в следующем, что есть две равнозначные сети, висят на разных интерфейсах  ASA. Юзеры одних - цепляются к серверам других и наоборот.
Вопрос был в том чтобы не плодить когорты nat для серваков обоих сетей, а обойтись тривиальным рутингом и ACL. Вопрос в том - как это прописывать исходя из идеологии ASA.

Назначать разные levels на сети, в одну сторону блочить лишний траффик при помощи acl, а в другую nat?

Либо включить same-security-traffic permit inter-interface и блочить лишний траффик при помощи acl?