Hallo Liebe Netzwerker & CB'ler
Auf dem Gebiert der 870 bin ich neu.
Erfahrungen habe ich zwar auf PIX/ASA Ebene.
Habe hier einen Cisco 876 Router mit Advanced Security Plus license.
Der Router muss leider zwingened (Dumme SQL abfrage) eine Transparent DMZ haben.
Um dort Public IPs zu verwenden.
Folgendes ist nun meine Frage. Kann ich dies mit dem 876 Router.
Habe nachgelesen dass man diesen Router, genau wie die ASA in einen "transparent mode" setzen kann, dabei werden aber alle interface in diesen modus genommen um so ne stealth firewall zu haben.
Doch brauch ich NAT/PAT für inside to outside.
Auf einer ASA/PIX implementieren wir nie Transparent DMZs sondern setzen "static" translations + ACL.
Daher frag ich mal hier noch ob vielleicht einer von euch schonmal sowas gemacht/implementiert hat. oder es überhaupt möglich ist mit diesem Produkt.
EDIT:
Also habe mir mal ein paar ASA gedanken gemacht um dieses Problem zu lösen (eine Transparent DMZ hinzubasteln)
access-list NONAT extended permit ip object-group DMZ-Server any
nat (dmz) 0 access-list NONAT
eventuell noch: access-list NONAT extended deny ip object-group DMZ-Server interface inside
damit von der DMZ ins inside netzwerk genat'ed wird.
Danke euch schonmal im vorraus
Gruss
Duque
Auf dem Gebiert der 870 bin ich neu.
Erfahrungen habe ich zwar auf PIX/ASA Ebene.
Habe hier einen Cisco 876 Router mit Advanced Security Plus license.
Der Router muss leider zwingened (Dumme SQL abfrage) eine Transparent DMZ haben.
Um dort Public IPs zu verwenden.
Folgendes ist nun meine Frage. Kann ich dies mit dem 876 Router.
Habe nachgelesen dass man diesen Router, genau wie die ASA in einen "transparent mode" setzen kann, dabei werden aber alle interface in diesen modus genommen um so ne stealth firewall zu haben.
Doch brauch ich NAT/PAT für inside to outside.
Auf einer ASA/PIX implementieren wir nie Transparent DMZs sondern setzen "static" translations + ACL.
Daher frag ich mal hier noch ob vielleicht einer von euch schonmal sowas gemacht/implementiert hat. oder es überhaupt möglich ist mit diesem Produkt.
EDIT:
Also habe mir mal ein paar ASA gedanken gemacht um dieses Problem zu lösen (eine Transparent DMZ hinzubasteln)
access-list NONAT extended permit ip object-group DMZ-Server any
nat (dmz) 0 access-list NONAT
eventuell noch: access-list NONAT extended deny ip object-group DMZ-Server interface inside
damit von der DMZ ins inside netzwerk genat'ed wird.
Danke euch schonmal im vorraus
Gruss
Duque
Zuletzt bearbeitet: