URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 13369
[ Назад ]

Исходное сообщение
"Как выпустить машину на диапазон внешних портов ?"
Отправлено Guuk , 19-Апр-07 03:30

Имеется вполне рабочая конфигурация.
192.168.0.6 и 192.168.1.6 - адреса прокси , через который все из 192.168.0.x ходят
в интернет. Возникла необходимость выпустить одну машину мимо прокси на диапазон
портов (1001-2022). Вот софт требующий эти порты:
http://www.fxclub.org/tools_soft_idsproxy/
Если я в машине 192.168.0.250 добавляю еще один IP (192.168.1.250)
А в 101 лист добавляю :
access-list 101 permit ip host 192.168.1.250 any
То машина идет мимо прокси и получает весь инет нахаляву, что нехорошо :)
Пробовал:
access-list 101 permit tcp host 192.168.1.250 any range 1000 2022
Не пускает эту машину на эти порты.
Может я чего не так делаю ?
Ниже кусок конфига.
cisco 3660
version 12.2
!
!
interface FastEthernet0/0
ip address 192.168.0.10 255.255.255.0 secondary
ip address 192.168.1.1 255.255.255.0
ip directed-broadcast
ip nat inside
no ip mroute-cache
ip policy route-map upr_01
duplex auto
speed auto
no cdp enable
!
interface FastEthernet6/0
ip address x.x.x.154 x.x.x.x
ip access-group 110 in
ip access-group 111 out
ip nat outside
speed 10
full-duplex
no cdp enable
!
!
ip nat inside source list 101 interface FastEthernet6/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 x.x.x.153
no ip http server
!
no logging trap
access-list 101 permit ip host 192.168.1.6 any
access-list 102 deny   ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 deny   ip 192.168.1.0 0.0.0.255 any
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
access-list 110 permit ip any host x.x.x.154
access-list 111 permit ip host x.x.x.154 any
no cdp run
!
!
route-map upr_01 permit 10
match ip address 102
set ip next-hop 192.168.0.6
!

Содержание

Как выпустить машину на диапазон внешних портов ?,AiratX, 08:38 , 20-Апр-07
- Как выпустить машину на диапазон внешних портов ?,Guuk, 11:47 , 20-Апр-07
  - Как выпустить машину на диапазон внешних портов ?,AiratX, 13:33 , 20-Апр-07
    - Как выпустить машину на диапазон внешних портов ?,Guuk, 14:13 , 20-Апр-07
      - Как выпустить машину на диапазон внешних портов ?,AiratX, 16:25 , 20-Апр-07
        
        Как выпустить машину на диапазон внешних портов ?,Guuk, 09:46 , 23-Апр-07
        
        Как выпустить машину на диапазон внешних портов ?,intellegent, 10:03 , 23-Апр-07
        
        Как выпустить машину на диапазон внешних портов ?,Guuk, 11:53 , 23-Апр-07
Как выпустить машину на диапазон внешних портов ?,intellegent, 16:34 , 20-Апр-07
- Как выпустить машину на диапазон внешних портов ?,AiratX, 16:43 , 20-Апр-07
  - Как выпустить машину на диапазон внешних портов ?,intellegent, 16:53 , 20-Апр-07

Сообщения в этом обсуждении

"Как выпустить машину на диапазон внешних портов ?"
Отправлено AiratX , 20-Апр-07 08:38

access-list 101 permit tcp host 192.168.1.250 any range 1001 2022

"Как выпустить машину на диапазон внешних портов ?"
Отправлено Guuk , 20-Апр-07 11:47

>access-list 101 permit tcp host 192.168.1.250 any range 1001 2022

Я так и пробовал и не ходит машина на эти порты.
Похоже permit tcp у меня вообще не срабатывает.
Я пробовал на этой машине убрать IP 192.168.0.250 и оставить только 192.168.1.250
и делал для нее access-list 101 permit tcp host 192.168.1.250 any eq 80
но она таким способом и в инет не ходит.При этом по sh ip accsess-list видим:
Extended IP access list 101

permit ip host 192.168.1.6 any (156457 matches)
permit tcp host 192.168.1.250 any eq 80 - ничего !!!
Может я где туплю ?
Кстати еще попутно :
sh ip nat tr срабатывет нормально , а при
sh ip nat st циска зависает надолго.

"Как выпустить машину на диапазон внешних портов ?"
Отправлено AiratX , 20-Апр-07 13:33

попробуй убрать
route-map upr_01

"Как выпустить машину на диапазон внешних портов ?"
Отправлено Guuk , 20-Апр-07 14:13

>попробуй убрать
>route-map upr_01
Сейчас попробовать не могу.
У нас уже ночь.
Но я пробовал убирать 102 лист и результат прежний.
Попробую завтра.
Может есть еще варианты которые можно опробовать.
Спасибо.

"Как выпустить машину на диапазон внешних портов ?"
Отправлено AiratX , 20-Апр-07 16:25

вот так должно работать
!
!
interface FastEthernet0/0
ip address 192.168.0.10 255.255.255.0 secondary
ip address 192.168.1.1 255.255.255.0
ip directed-broadcast
ip nat inside
no ip mroute-cache
duplex auto
speed auto
no cdp enable
!
interface FastEthernet6/0
ip address x.x.x.154 x.x.x.x
ip access-group 110 in
ip access-group 111 out
ip nat outside
no ip mroute-cache
speed 10
full-duplex
no cdp enable
!
!
ip nat inside source list 101 interface FastEthernet6/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 x.x.x.153
no ip http server
!
no logging trap
access-list 101 permit ip host 192.168.1.6 any
access-list 101 permit tcp host 192.168.1.250 any range 1001 2022
access-list 110 permit ip any host x.x.x.154
access-list 111 permit ip host x.x.x.154 any
no cdp run
!
!

"Как выпустить машину на диапазон внешних портов ?"
Отправлено Guuk , 23-Апр-07 09:46

>вот так должно работать
>!
>!
>interface FastEthernet0/0
>ip address 192.168.0.10 255.255.255.0 secondary
>ip address 192.168.1.1 255.255.255.0
>ip directed-broadcast
>ip nat inside
>no ip mroute-cache
>duplex auto
>speed auto
>no cdp enable
>!
>interface FastEthernet6/0
>ip address x.x.x.154 x.x.x.x
>ip access-group 110 in
>ip access-group 111 out
>ip nat outside
>no ip mroute-cache
>speed 10
>full-duplex
>no cdp enable
>!
>!
>ip nat inside source list 101 interface FastEthernet6/0 overload
>ip classless
>ip route 0.0.0.0 0.0.0.0 x.x.x.153
>no ip http server
>!
>no logging trap
>access-list 101 permit ip host 192.168.1.6 any
>access-list 101 permit tcp host 192.168.1.250 any range 1001 2022
>access-list 110 permit ip any host x.x.x.154
>access-list 111 permit ip host x.x.x.154 any
>no cdp run
>!
>!
Сам поражаюсь, но не работает.
Уже кажется в конфиге все по минимуму.
Может вам подскажет Route Print на испытуемой машине:
Активные маршруты:
  Сетевой адрес            Маска    Адрес шлюза            Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.250       1
        127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1       1
      192.168.1.0    255.255.255.0    192.168.1.250    192.168.1.250       1
    192.168.1.250  255.255.255.255        127.0.0.1        127.0.0.1       1
    192.168.1.255  255.255.255.255    192.168.1.250    192.168.1.250       1
        224.0.0.0        224.0.0.0    192.168.1.250    192.168.1.250       1
  255.255.255.255  255.255.255.255    192.168.1.250    192.168.1.250       1

"Как выпустить машину на диапазон внешних портов ?"
Отправлено intellegent , 23-Апр-07 10:03

Слушай, насчет это проги и диапазона портов? Правильно ли я понимаю, что на эти порты будут к тебе обращаться? Т.е. пакеты будет приходить из internet нтвой роутер на адрес x.x.x.154 destination port 1001 2022?

"Как выпустить машину на диапазон внешних портов ?"
Отправлено Guuk , 23-Апр-07 11:53

>Слушай, насчет это проги и диапазона портов? Правильно ли я понимаю, что
>на эти порты будут к тебе обращаться? Т.е. пакеты будет приходить
>из internet нтвой роутер на адрес x.x.x.154 destination port 1001 2022?
>
Нет. Эта прога будет ходить на эти порты в интернете.
Если ты хотел предложить нечто вроде:
ip nat inside sourrce static tcp 192.168.1.250 .... то мне это наверно не поможет.
Вроде все должно быть очень просто, как в классическом примере про выпуск одной
машины в инет:
access-list 101 permit tcp host 192.168.1.250 any eq 80
но и в инет таким способом машину не пускает :(

"Как выпустить машину на диапазон внешних портов ?"
Отправлено intellegent , 20-Апр-07 16:34

Что-то мне подсказывает, что NAT не работает, потому что на FA6/0 весят два access-list, которые запрещают выход пакетов с хоста 192.168.1.6 наружу. Ради эксперимента убери с Fa6/0 acl 110 и 111 и повесь туда acl 101. Должно заработать...

"Как выпустить машину на диапазон внешних портов ?"
Отправлено AiratX , 20-Апр-07 16:43

>Что-то мне подсказывает, что NAT не работает, потому что на FA6/0 весят
>два access-list, которые запрещают выход пакетов с хоста 192.168.1.6 наружу. Ради
>эксперимента убери с Fa6/0 acl 110 и 111 и повесь туда
>acl 101. Должно заработать...
Изначально говорилось -
"192.168.0.6 и 192.168.1.6 - адреса прокси , через который все из 192.168.0.x ходят
в интернет"
из этого следует что прокси в инет ходит, а значит NAT работает

"Как выпустить машину на диапазон внешних портов ?"
Отправлено intellegent , 20-Апр-07 16:53

>>Что-то мне подсказывает, что NAT не работает, потому что на FA6/0 весят
>>два access-list, которые запрещают выход пакетов с хоста 192.168.1.6 наружу. Ради
>>эксперимента убери с Fa6/0 acl 110 и 111 и повесь туда
>>acl 101. Должно заработать...
>
>Изначально говорилось -
>"192.168.0.6 и 192.168.1.6 - адреса прокси , через который все из 192.168.0.x
>ходят
>в интернет"
>из этого следует что прокси в инет ходит, а значит NAT работает
>

Виноват, исправлюсь...