URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22565
[ Назад ]

Исходное сообщение
"Броброс портов в NAT"
Отправлено RodjerVilko , 29-Апр-11 14:12

Броброс портов в NAT.
Приветсвую всех!
прошу помочь с настройкой CISCO 2600.
Имеем Внешний порт
interface FastEthernet0/0
description Provider
ip address 212.12.240.240 255.255.255.0
ip nat outside
no ip mroute-cache
duplex auto
speed auto
Внутренний
interface FastEthernet0/1
description LAN
ip address 192.168.50.1 255.255.255.0
ip nat inside
no ip mroute-cache
duplex auto
speed auto

ip nat inside source static 192.168.50.12 212.12.240.240 extendable
разрешил все, хотя нужен будет тока 3389
ip nat inside source list rdp1 interface FastEthernet0/0 overload
ip access-list extended rdp1
permit tcp any any
permit udp any any
тоже разрешил все для проверки.
соединения через внешний порт с 212.12.240.16 на 212.12.240.240 по rdp ничего не дают
debug ip nat выдает
00:42:58: NAT: s=212.12.240.16, d=212.12.240.240->192.168.50.12 [524]
00:43:01: NAT: s=212.12.240.16, d=212.12.240.240->192.168.50.12 [525]
00:43:07: NAT: s=212.12.240.16, d=212.12.240.240->192.168.50.12 [526]
00:44:07: NAT: expiring 212.12.240.240 (192.168.5.12) tcp 3389 (3389)
Я с цисками только неделю знаком, так что не пинайте сильно.
возможно надо еще какой-то acces list добавит надо.
может inside и outside напутал в пробросе.

Содержание

Броброс портов в NAT,shadow_alone, 10:21 , 30-Апр-11
Броброс портов в NAT,Merridius, 23:40 , 30-Апр-11
Броброс портов в NAT,RodjerVilko, 10:13 , 04-Май-11
- Броброс портов в NAT,crash, 10:26 , 04-Май-11
  - Броброс портов в NAT,RodjerVilko, 10:57 , 04-Май-11
    - Броброс портов в NAT,crash, 12:05 , 04-Май-11
      - Броброс портов в NAT,RodjerVilko, 13:11 , 04-Май-11
        
        Броброс портов в NAT,crash, 14:02 , 04-Май-11
        
        Броброс портов в NAT,RodjerVilko, 15:00 , 04-Май-11
- Броброс портов в NAT,RodjerVilko, 15:20 , 11-Май-11
  - Броброс портов в NAT,crash, 14:02 , 12-Май-11
    - Броброс портов в NAT,RodjerVilko, 15:15 , 12-Май-11

Сообщения в этом обсуждении

"Броброс портов в NAT"
Отправлено shadow_alone , 30-Апр-11 10:21

на машине 192.168.50.12, шлюзом указать 192.168.50.1

"Броброс портов в NAT"
Отправлено Merridius , 30-Апр-11 23:40

> ip nat inside source static 192.168.50.12 212.12.240.240 extendable
> разрешил все, хотя нужен будет тока 3389
ip nat inside source static tcp 192.168.50.12 3389 212.12.240.240 3389
таким образом вы пробросите порт tcp 3389 с хоста 192.168.50.12 на порт 3389 на вашем внешнем адресе.

> ip nat inside source list rdp1 interface FastEthernet0/0 overload
> ip access-list extended rdp1
> permit tcp any any
> permit udp any any
с таким листом у вас не будет работать ничего, кроме tcp и udp трафика.
permit ip 192.168.50.0 0.0.0.255 any
сделайте такой АКЛ, чтобы разрешить натить любой ip трафик из сети 192.168.50.0/24

"Броброс портов в NAT"
Отправлено RodjerVilko , 04-Май-11 10:13

спасибо большое всем.
еще не подскажите как разрешить доступ к внешнему ипу
(interface FastEthernet0/0 ip address 212.12.240.240)
только например 212.12.240.30
ip nat outside source list NET interface FastEthernet0/0

ip access-list extended NET
permit ip host 212.12.240.30 host 212.12.240.240
deny ip any any

не работает, да и просто deny ip any any не запрещает ничего

"Броброс портов в NAT"
Отправлено crash , 04-Май-11 10:26

> спасибо большое всем.
> еще не подскажите как разрешить доступ к внешнему ипу
> (interface FastEthernet0/0 ip address 212.12.240.240)
> только например 212.12.240.30
> ip nat outside source list NET interface FastEthernet0/0
> ip access-list extended NET
>  permit ip host 212.12.240.30 host 212.12.240.240
>  deny   ip any any
> не работает, да и просто deny ip any any не запрещает ничего
Не понятно чего вы хотите, да  и не понятно для чего вы натите внешние айпишники

"Броброс портов в NAT"
Отправлено RodjerVilko , 04-Май-11 10:57

>[оверквотинг удален]
>> еще не подскажите как разрешить доступ к внешнему ипу
>> (interface FastEthernet0/0 ip address 212.12.240.240)
>> только например 212.12.240.30
>> ip nat outside source list NET interface FastEthernet0/0
>> ip access-list extended NET
>>  permit ip host 212.12.240.30 host 212.12.240.240
>>  deny   ip any any
>> не работает, да и просто deny ip any any не запрещает ничего
> Не понятно чего вы хотите, да  и не понятно для чего
> вы натите внешние айпишники
я хочу ограничить доступ к внешнему порту (interface FastEthernet0/0)
определенным диапазоном ip. (написал для примера разрешить только 212.12.240.30)
ip nat INSIDE source list должен быть?

"Броброс портов в NAT"
Отправлено crash , 04-Май-11 12:05

>[оверквотинг удален]
>>> ip nat outside source list NET interface FastEthernet0/0
>>> ip access-list extended NET
>>>  permit ip host 212.12.240.30 host 212.12.240.240
>>>  deny   ip any any
>>> не работает, да и просто deny ip any any не запрещает ничего
>> Не понятно чего вы хотите, да  и не понятно для чего
>> вы натите внешние айпишники
> я хочу ограничить доступ к внешнему порту (interface FastEthernet0/0)
> определенным диапазоном ip. (написал для примера разрешить только 212.12.240.30)
> ip nat INSIDE source list должен быть?
так вам надо не натить, а вешать access-list на входящий интерфейс, где вы разрешаете и что.

"Броброс портов в NAT"
Отправлено RodjerVilko , 04-Май-11 13:11

>[оверквотинг удален]
>>>>  permit ip host 212.12.240.30 host 212.12.240.240
>>>>  deny   ip any any
>>>> не работает, да и просто deny ip any any не запрещает ничего
>>> Не понятно чего вы хотите, да  и не понятно для чего
>>> вы натите внешние айпишники
>> я хочу ограничить доступ к внешнему порту (interface FastEthernet0/0)
>> определенным диапазоном ip. (написал для примера разрешить только 212.12.240.30)
>> ip nat INSIDE source list должен быть?
> так вам надо не натить, а вешать access-list на входящий интерфейс, где
> вы разрешаете и что.
т.е. вот так только?
interface FastEthernet0/0
    ip access-group 100 in
access-list 100 permit tcp host 212.12.240.30 host 212.12.240.240 eq 3389

"Броброс портов в NAT"
Отправлено crash , 04-Май-11 14:02

> т.е. вот так только?
> interface FastEthernet0/0
> ip access-group 100 in
> access-list 100 permit tcp host 212.12.240.30 host 212.12.240.240 eq 3389
да, но надо понимать что вы закрываете все остальное. Поэтому вам надо например потом сделать
access-list 100 deny tcp any host 212.12.240.240 eq 3389
access-list 100 permit ip any host 212.12.240.240
или как вариант настрить на cisco cbaq, тогда на интеерфейсе надо будет настраивать в access-list'е только то кому разрешаете доступ из вне.

"Броброс портов в NAT"
Отправлено RodjerVilko , 04-Май-11 15:00

>> т.е. вот так только?
>> interface FastEthernet0/0
>> ip access-group 100 in
>> access-list 100 permit tcp host 212.12.240.30 host 212.12.240.240 eq 3389
> да, но надо понимать что вы закрываете все остальное. Поэтому вам надо
> например потом сделать
> access-list 100 deny tcp any host 212.12.240.240 eq 3389
> access-list 100 permit ip any host 212.12.240.240
> или как вариант настрить на cisco cbaq, тогда на интеерфейсе надо будет
> настраивать в access-list'е только то кому разрешаете доступ из вне.
да, я понимаю, мне и нужно разрешить доступ только из одной подсети 212.12.240.0 255.255.255.0
access-list 100 permit tcp 212.12.240.0 0.255.255.255 any eq 3389

"Броброс портов в NAT"
Отправлено RodjerVilko , 11-Май-11 15:20

Допишу сюда.
не могу разобраться с acces-list
внешнйи интерфейс
Interface FastEthernet 0/1
ip addres 212.12.240.240
ip nat outside
ip access-group NET in
внутренний
Interface FastEthernet 0/0
ip addres 192.168.50.5
ip nat inside
ip nat inside source list LOC interface FastEthernet 0/1 overload
ip access-list extended LOC
permit ip 192.168.50.0 0.255.255.255 any
хочу разрешить проброс и доступ только к 21 порту (192.168.5.21)
ip nat inside source static tcp 192.168.50.21 21 212.12.240.240 21 extendable
ip nat inside source static tcp 192.168.50.21 20 212.12.240.240 20 extendable
ip access-list extended NET
попробовал так
permit tcp 212.12.0.0 0.0.255.255 eq ftp host 192.168.50.21 eq ftp
не вышло, в show ip nat translations увидел, что ломятся с совсем других портов (ЭТО как??)
сделал так
permit tcp 212.12.0.0 0.0.255.255 host 192.168.50.21 eq ftp
не получилось и добавил
permit tcp 212.12.0.0 0.0.255.255 host 212.12.240.240 eq ftp
пропускает, но в пассивном режиме.
более-менее работает при
permit tcp 212.12.0.0 0.0.255.255 any
но тормозит и низкая скорость.

что не так делаю?

"Броброс портов в NAT"
Отправлено crash , 12-Май-11 14:02

> ip nat inside source static tcp 192.168.50.21 21 212.12.240.240 21 extendable
> ip nat inside source static tcp 192.168.50.21 20 212.12.240.240 20 extendable
> ip access-list extended NET
> попробовал так
> permit tcp 212.12.0.0 0.0.255.255 eq ftp host 192.168.50.21 eq ftp
> не вышло, в show ip nat translations увидел, что ломятся с совсем
> других портов (ЭТО как??)
Кто вам сказал что клиент должен ломиться с 20 или с 21 порта? клиент будет ломиться с 1024 например.

"Броброс портов в NAT"
Отправлено RodjerVilko , 12-Май-11 15:15

>> ip nat inside source static tcp 192.168.50.21 21 212.12.240.240 21 extendable
>> ip nat inside source static tcp 192.168.50.21 20 212.12.240.240 20 extendable
>> ip access-list extended NET
>> попробовал так
>> permit tcp 212.12.0.0 0.0.255.255 eq ftp host 192.168.50.21 eq ftp
>> не вышло, в show ip nat translations увидел, что ломятся с совсем
>> других портов (ЭТО как??)
> Кто вам сказал что клиент должен ломиться с 20 или с 21
> порта? клиент будет ломиться с 1024 например.
да, уже ошибку понял. Спасибо большое