URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 13689
[ Назад ]

Исходное сообщение
"NAT одновременно и IP источника и IP назначения"
Отправлено SergeyBoo , 31-Май-07 18:19

Можно ли и как сделать на Cisco IOS или PIX одновременную трансляцию IP источника и IP назначения? Т.е. приходит на маршрутизатор/PIX пакет с ip1_src,ip1_dest, надо чтобы он ушел с другого интерфейса с ip2_src,ip2_dst. При этом ip1_dest всегда меняется в один и тот же ip2_dst, а вот ip1_src меняется в ip2_src согласно некой таблицы.

Содержание

NAT одновременно и IP источника и IP назначения,vgray, 08:46 , 01-Июн-07
- NAT одновременно и IP источника и IP назначения,SergeyBoo, 10:35 , 01-Июн-07
  - NAT одновременно и IP источника и IP назначения,asto, 13:45 , 01-Июн-07
    - NAT одновременно и IP источника и IP назначения,Sergey Boo, 18:32 , 04-Июн-07
NAT одновременно и IP источника и IP назначения,magr, 14:32 , 05-Июн-07
NAT одновременно и IP источника и IP назначения,SergeyBoo, 07:31 , 07-Авг-07
- NAT одновременно и IP источника и IP назначения,afr, 17:32 , 28-Апр-11

Сообщения в этом обсуждении

"NAT одновременно и IP источника и IP назначения"
Отправлено vgray , 01-Июн-07 08:46

>Можно ли и как сделать на Cisco IOS или PIX одновременную трансляцию
>IP источника и IP назначения? Т.е. приходит на маршрутизатор/PIX пакет с
>ip1_src,ip1_dest, надо чтобы он ушел с другого интерфейса с ip2_src,ip2_dst. При
>этом ip1_dest всегда меняется в один и тот же ip2_dst, а
>вот ip1_src меняется в ip2_src согласно некой таблицы.
конечно, dst 192.168.10.254 меняется в 172.16.10.5
src 192.168.10.20 меняется  в 200.0.0.1
src 192.168.10.30 меняется  в 200.0.0.3
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
ip nat inside
interface Serial1/1
ip address 200.0.0.1 255.255.255.248
ip nat outside
ip nat pool isp2.ip1 200.0.0.1 200.0.0.1 prefix-length 29
ip nat pool isp2.ip2 200.0.0.3 200.0.0.3 prefix-length 29
ip nat inside source route-map nat-clients-to-isp2-ip.1 pool isp2.ip1 overload
ip nat inside source route-map nat-clients-to-isp2-ip.2 pool isp2.ip2 overload
ip nat outside source static 172.16.10.5 192.168.10.254 add-route
ip access-list standard nat-clients-to-isp2-ip.1
permit 192.168.10.20
ip access-list standard nat-clients-to-isp2-ip.2
permit 192.168.10.30
!
route-map nat-clients-to-isp2-ip.1 permit 10
match ip address nat-clients-to-isp2-ip.1
!
route-map nat-clients-to-isp2-ip.2 permit 10
match ip address nat-clients-to-isp2-ip.2

"NAT одновременно и IP источника и IP назначения"
Отправлено SergeyBoo , 01-Июн-07 10:35

Спасибо. Наверное заработает. А на Cisco PIX/ASA в принципе это возможно?

"NAT одновременно и IP источника и IP назначения"
Отправлено asto , 01-Июн-07 13:45

>Спасибо. Наверное заработает. А на Cisco PIX/ASA в принципе это возможно?

Да возможно.
Работающий конфиг двустороннего ната с пикса:
global (outside) 1 interface
nat (inside) 1 172.0.0.0 255.255.255.192 0 0
static (outside,inside) 172.1.0.1 10.1.1.1 netmask 255.255.255.255 0 0
+ необходимые маршруты прописать руками или настроить OSPF
сеть 172.0.0.0 находится в инсайде
сеть 10.0.0.0 - в аутсайде
тогда для адресов из сети 172.0.0.0/26 делается PAT и сервер из сети 2 (10.1.1.1) видится в первой сети как 172.1.0.1

"NAT одновременно и IP источника и IP назначения"
Отправлено Sergey Boo , 04-Июн-07 18:32

Спасибо за ответ asto. Но кажется это будет немного не то.
У всех пакетов выходящих через outside будет менятся адрес источника ip1_src на ip2_src(адрес интерфейса outside), но не будет менятся адрес назначения ip1_dest. И только в случае если пакет из инсайда(172.0.0.0) придет на адрес 172.1.0.1, то ip1_dest заменится на 10.1.1.1
А нужно следуюещее: все пакеты приходят на адрес интерфейса1, надо всем пакетам заменить адрес назначения на один и тот же и "вытолкнуть" через интерфейс2. Это делается легко:
static (интерфейс2,интерфейс1) ip1_dest ip2_dest netmask 255.255.255.255 0 0
НО! при этом надо еще заменить адреса источников пакетов на другие в соответствии с таблицей. Вот это сделать уже не могу :(

"NAT одновременно и IP источника и IP назначения"
Отправлено magr , 05-Июн-07 14:32

>Можно ли и как сделать на Cisco IOS или PIX одновременную трансляцию
>IP источника и IP назначения? Т.е. приходит на маршрутизатор/PIX пакет с
>ip1_src,ip1_dest, надо чтобы он ушел с другого интерфейса с ip2_src,ip2_dst. При
>этом ip1_dest всегда меняется в один и тот же ip2_dst, а
>вот ip1_src меняется в ip2_src согласно некой таблицы.
Для пиксов - "Configuring Overlapping Networks"
http://www.cisco.com/en/US/docs/security/pix/pix63/configura...

"NAT одновременно и IP источника и IP назначения"
Отправлено SergeyBoo , 07-Авг-07 07:31

>Можно ли и как сделать на Cisco IOS или PIX одновременную трансляцию ....
Отвечаю - можно.
static (int2,int1) ip1_dest ip2_dest netmask 255.255.255.255 0 0
static (int1,int2) ip2_src ip1_src netmask 255.255.255.255 0 0
и можно даже еще порты при этом переназначать

"NAT одновременно и IP источника и IP назначения"
Отправлено afr , 28-Апр-11 17:32

>>Можно ли и как сделать на Cisco IOS или PIX одновременную трансляцию ....
> Отвечаю - можно.
> static (int2,int1) ip1_dest ip2_dest netmask 255.255.255.255 0 0
> static (int1,int2) ip2_src ip1_src netmask 255.255.255.255 0 0
> и можно даже еще порты при этом переназначать
при этом в логах PIX-6-110001: No route to ip2_dst from ip2_src
если добавить route int2 ip2_dst (он же ip1_src) gw, то пакеты черз int2 уходят (с нужным src и dst), но возникает другая трабля, ip1_src перестает получать пакеты идущие через pix, даже элементарно не может пропинговать IP на int1, как быть?