URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 14061
[ Назад ]

Исходное сообщение
"HELP!!! Не могу больше бороться с натом"
Отправлено presstudio , 26-Июл-07 10:22

Проблема такая: надо чтобы комп. с ip=10.10.1.45 из локальной сетки выходил в интернет с внешним ip=xx.yy.125.200/
сделал
ip nat inside source list 1 interface Serial0/0 overload
ip nat inside source static 10.10.1.45 xx.yy.125.200 extendable
захожу с этого компа в нет смотрю свой ip - все верно xx.yy.125.200.
теперь удаленно пытаюсь зайти на этот комп.  - не получается.
Пинг до xx.yy.125.200 идет с любой точки планеты, но только до компа с этим внешним ip не доходит не одного пакета из внешней сети. Т.е. я не пойму кто отвечает на этот пинг. выходит циска. ЧАВо делать? Все перерыл. не могу найти где тут косяк. PLEASE HELP!!!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service dhcp
!
hostname main
!
boot-start-marker
boot system flash c2600-ipbasek9-mz.124-8.bin
boot-end-marker
!
logging buffered 16384 debugging
!
aaa new-model
aaa session-mib disconnect
!
!
!
aaa session-id common
!
resource policy
!
clock timezone IRKT 8
no network-clock-participate slot 1
no network-clock-participate wic 0
no ip source-route
ip cef
!
!
!
!
no ip bootp server
ip domain list www.ru
no ip domain lookup
ip domain name www.ru
ip name-server xx.yy.116.1
ip name-server xx.yy.125.3
ip address-pool dhcp-pool
ip accounting-list 0.0.0.2 255.255.255.252
ip accounting-list 0.0.0.0 255.255.255.0
ip rcmd rsh-enable
!
!
class-map match-any http-hacks
match protocol http url "*default.ida*"
match protocol http url "*x.ida*"
match protocol http url "*cmd.exe*"
match protocol http url "*root.exe*"
!
!
policy-map mark-inbound-http-hacks
class http-hacks
  set ip dscp 1
!
!
!
interface Loopback0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
!
interface FastEthernet0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/0.1
encapsulation dot1Q 1 native
ip nat inside
!
interface FastEthernet0/0.10
encapsulation dot1Q 10
ip address xx.xx.125.1 255.255.255.0
ip access-group eth in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
!
interface FastEthernet0/0.11
description local_net
encapsulation dot1Q 11
ip address 192.168.0.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
!
interface FastEthernet0/0.30
encapsulation dot1Q 30
ip address 10.10.1.254 255.255.255.0
no ip unreachables
ip nat inside
!
!
interface Serial0/0
bandwidth 2048
ip address xx.yy.zz.218 255.255.255.252
ip access-group in_block in
ip access-group out_block out
ip nat outside
rate-limit input access-group 146 64000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 149 512000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 148 64000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 147 64000 8000 8000 conform-action transmit exceed-action drop
no logging event link-status
no fair-queue
service-policy input mark-inbound-http-hacks
!
interface Serial0/1
ip address xx.yy.zz.218 255.255.255.252
shutdown
!
ip route 0.0.0.0 0.0.0.0 xx.yy.zz.217
ip flow-export source Loopback0
ip flow-export version 9
ip flow-export destination xx.yy.125.13 9001
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface Serial0/0 overload
ip nat inside source static 10.10.1.45 xx.yy.125.200 extendable
!
ip access-list standard eth
permit 10.10.3.11
permit xx.yy.125.199
permit xx.yy.125.200
permit xx.yy.125.201
permit xx.yy.125.202
permit xx.yy.125.203
permit xx.yy.125.205
permit xx.yy.125.30
permit xx.yy.125.1
permit xx.yy.125.2
permit xx.yy.125.3
permit xx.yy.125.4
permit xx.yy.125.5
permit 10.0.0.0 0.255.255.255
permit 192.168.0.0 0.0.0.255
!
ip access-list extended in_block
deny   udp any any range netbios-ns netbios-ss
deny   tcp any any range 135 139
deny   tcp any any eq 445
deny   udp any any eq 31337
deny   udp any any eq 22
deny   tcp any any range exec lpd
deny   udp any any eq sunrpc
deny   tcp any any eq sunrpc
deny   udp any any eq xdmcp
deny   tcp any any eq 177
deny   tcp any any range 6000 6063
deny   udp any any range 6000 6063
deny   udp any any range biff syslog
deny   tcp any any eq 11
deny   udp any any eq tftp
deny   udp any any range snmp snmptrap
deny   tcp any any eq 1433
permit ip any any
permit ip xx.0.0.0 0.255.255.255 any
permit ip any xx.0.0.0 0.255.255.255
permit ip 10.0.0.0 0.255.255.255 any
deny   ip 127.0.0.0 0.255.255.255 any
deny   ip 192.168.0.0 0.0.255.255 any
deny   ip 10.0.0.0 0.255.255.255 any
ip access-list extended out_block
permit ip any any
!
logging trap debugging
logging facility local6
logging source-interface Loopback0
logging xx.xx.125.3
access-list 1 permit 192.168.0.101
access-list 1 permit 192.168.0.8
access-list 1 permit 10.0.0.0 0.255.255.255
access-list 2 permit 10.0.0.0 0.255.255.255
access-list 10 permit 10.0.0.0 0.0.0.255
access-list 102 permit ip any xx.xx.125.0 0.0.0.255
access-list 102 permit ip 10.0.0.0 0.0.0.255 any
access-list 145 permit ip any host xx.xx.125.5
access-list 146 permit ip any host xx.xx.125.8
access-list 147 permit ip any host xx.xx.125.7
access-list 148 permit ip any host xx.xx.125.10
access-list 149 permit ip any host xx.xx.125.205
access-list rate-limit 0 0
snmp-server enable traps tty

Содержание

HELP!!! Не могу больше бороться с натом,weris, 10:37 , 26-Июл-07
- HELP!!! Не могу больше бороться с натом,presstudio, 08:48 , 27-Июл-07
HELP!!! Не могу больше бороться с натом,Xela, 10:33 , 27-Июл-07
- HELP!!! Не могу больше бороться с натом,presstudio, 10:48 , 27-Июл-07
  - HELP!!! Не могу больше бороться с натом,Xela, 10:52 , 27-Июл-07
HELP!!! Не могу больше бороться с натом,presstudio, 19:49 , 27-Июл-07
- HELP!!! Не могу больше бороться с натом,Basil, 17:09 , 29-Июл-07
  - HELP!!! Не могу больше бороться с натом,presstudio, 03:59 , 30-Июл-07
  - HELP!!! Не могу больше бороться с натом,presstudio, 04:46 , 30-Июл-07
HELP!!! Не могу больше бороться с натом,presstudio, 07:13 , 30-Июл-07

Сообщения в этом обсуждении

"HELP!!! Не могу больше бороться с натом"
Отправлено weris , 26-Июл-07 10:37

>ip nat inside source list 1 interface Serial0/0 overload
>ip nat inside source static 10.10.1.45 xx.yy.125.200 extendable
вот так попробуй
ip nat pool test2 xx.yy.125.200 xx.yy.125.200 prefix-length 28
ip nat inside source list 3 pool test2 overload
ip nat inside source static 10.10.1.45 xx.yy.125.200 extendable
access-list 3 permit host 10.10.1.45

"HELP!!! Не могу больше бороться с натом"
Отправлено presstudio , 27-Июл-07 08:48

>>ip nat inside source list 1 interface Serial0/0 overload
>>ip nat inside source static 10.10.1.45 xx.yy.125.200 extendable
>
>вот так попробуй
>
>ip nat pool test2 xx.yy.125.200 xx.yy.125.200 prefix-length 28
>ip nat inside source list 3 pool test2 overload
>ip nat inside source static 10.10.1.45 xx.yy.125.200 extendable
>
>access-list 3 permit host 10.10.1.45
Как и следовало ожидать:
Тоже самое...... уже не знаю чего выдумать

"HELP!!! Не могу больше бороться с натом"
Отправлено Xela , 27-Июл-07 10:33

> interface FastEthernet0/0.10
> encapsulation dot1Q 10
> ip address xx.xx.125.1 255.255.255.0
> ip access-group eth in
> no ip redirects
> no ip unreachables
> no ip proxy-arp
> ip nat inside
Почему здесь inside ? Разве не outside должен быть на внешнем интерфейсе???

"HELP!!! Не могу больше бороться с натом"
Отправлено presstudio , 27-Июл-07 10:48

>[оверквотинг удален]
>> encapsulation dot1Q 10
>> ip address xx.xx.125.1 255.255.255.0
>> ip access-group eth in
>> no ip redirects
>> no ip unreachables
>> no ip proxy-arp
>> ip nat inside
>
>Почему здесь inside ? Разве не outside должен быть на внешнем интерфейсе???
>
Ищем внешний......
находим:
interface Serial0/0
bandwidth 2048
ip address xx.xx.zz.218 255.255.255.252
ip access-group in_block in
ip access-group out_block out
ip nat outside

"HELP!!! Не могу больше бороться с натом"
Отправлено Xela , 27-Июл-07 10:52

>interface Serial0/0
> bandwidth 2048
> ip address xx.xx.zz.218 255.255.255.252
> ip access-group in_block in
> ip access-group out_block out
> ip nat outside
О! Мильпардон. Не заметил.

"HELP!!! Не могу больше бороться с натом"
Отправлено presstudio , 27-Июл-07 19:49

Тема становится все актуальнее с каждым часом

"HELP!!! Не могу больше бороться с натом"
Отправлено Basil , 29-Июл-07 17:09

>Тема становится все актуальнее с каждым часом
Попробуйте debug ip nat и посмотреть, что происходит

"HELP!!! Не могу больше бороться с натом"
Отправлено presstudio , 30-Июл-07 03:59

а происходит собственно....
Мне кажется все красиво....
Jul 30 08:40:44 main-gateway 136: .Jul 29 23:42:35.552: NAT*: s=195.46.102.114,
d=xx.zz.yy.200->10.10.1.45 [46847
Jul 30 08:40:44 main-gateway 137: .Jul 29 23:42:35.564: NAT*: s=10.10.1.45->xx.zz.yy.200, d=195.46.102.114 [48294
d=xx.yy.zz.200->10.10.1.45 [47092
Jul 30 08:40:44 main-gateway 146: .Jul 29 23:42:35.709: NAT*: s=195.46.102.114, d=xx.yy.zz.200->10.10.1.45 [47473
Jul 30 08:40:44 main-gateway 147: .Jul 29 23:42:35.733: NAT*: s=10.10.1.45->xx.yy.zz.200, d=195.46.102.114 [48295
Jul 30 08:40:45 main-gateway 158: .Jul 29 23:42:35.801: NAT*: s=195.46.102.114, d=xx.yy.zz.200->10.10.1.45 [48001
Jul 30 08:40:45 main-gateway 160: .Jul 29 23:42:35.886: NAT*: s=195.46.102.114, d=xx.yy.zz.200->10.10.1.45 [48418
Jul 30 08:40:45 main-gateway 162: .Jul 29 23:42:35.910: NAT*: s=10.10.1.45->xx.yy.zz.200, d=195.46.102.114 [48296

"HELP!!! Не могу больше бороться с натом"
Отправлено presstudio , 30-Июл-07 04:46

и еще:
Схема выглядит так
Пограничный маршрутизатор на котором прописываем ip nat inside
Далее Catalysta, а от нее на Dslam.
на каталисте пакеты ходят вот через этот vlan
interface Vlan30
ip address 10.10.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
Может быть тут какая загвоздка. Потому как идет пинг xx.zz.yy.200, а чего пингуем не понятно.

"HELP!!! Не могу больше бороться с натом"
Отправлено presstudio , 30-Июл-07 07:13

Наковырял следующее
все пакеты кот. я пытался отправить на xx.yy.zz.200 уходили на этот интерфейс
interface FastEthernet0/0.10
encapsulation dot1Q 10
ip address xx.yy.zz.1 255.255.255.0
ip access-group eth in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
и соответственно при ip nat inside source static 10.10.1.45 xx.yy.zz.200 extendable
я ничего хорошего не получил
поставил
interface FastEthernet0/0.10
ip address xx.yy.zz.1 255.255.255.128
Теперь пинг до xx.yy.zz.200 идет как надо
Обмен пакетами с xx.yy.zz.200 по 32 байт:
Ответ от 10.10.1.45: число байт=32 время=47мс TTL=127
Ответ от 10.10.1.45: число байт=32 время=27мс TTL=127
Ответ от 10.10.1.45: число байт=32 время=26мс TTL=127
Ответ от 10.10.1.45: число байт=32 время=26мс TTL=127
Однако не пускает через порт 8080 и 23.
А на 10.10.1.45 пускает по всем портам.