URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 59579
[ Назад ]
Исходное сообщение
"cisco nat"
Отправлено bromantik , 29-Авг-05 18:48 
Хочу настроить dnat
1.2.3.4 внешний адрес
192.168.2.10 - внутренний
Внутренняя сеть 192.168.2.0/24
Пишу...
ip nat inside source static tcp 192.168.2.10 80 1.2.3.4 80
все круто, снаружи попадаем на 192.168.2.10:80
Но... Изнутри уже ничего не работает...
Как сделать так, чтобы любые соединения на 1.2.3.4:80 редиректились на 192.168.2.10:80, а не только снаружи...

заранее спасибо

Содержание
Сообщения в этом обсуждении
"cisco nat"
Отправлено bromantik , 30-Авг-05 07:42 
неужели никто не в курсе
"cisco nat"
Отправлено toor99 , 30-Авг-05 12:23 
>Хочу настроить dnat
>1.2.3.4 внешний адрес
>192.168.2.10 - внутренний
>Внутренняя сеть 192.168.2.0/24
>Пишу...
>ip nat inside source static tcp 192.168.2.10 80 1.2.3.4 80
>все круто, снаружи попадаем на 192.168.2.10:80
>Но... Изнутри уже ничего не работает...
>Как сделать так, чтобы любые соединения на 1.2.3.4:80 редиректились на 192.168.2.10:80, а
>не только снаружи...
>
>заранее спасибо

Самое простое - это настроить split DNS, чтобы изнутри имя резолвилось в 192.168.2.10, а снаружи в 1.2.3.4.
А если непременно хочется извращений, то попробуй исключить пакеты с DST= 1.2.3.4 из NAT-трансляций изнутри.

"cisco nat"
Отправлено bromantik , 30-Авг-05 15:17 

>Самое простое - это настроить split DNS, чтобы изнутри имя резолвилось в
>192.168.2.10, а снаружи в 1.2.3.4.

Вот да, читал про такое, как сделать, не подскажите?

"cisco nat"
Отправлено toor99 , 30-Авг-05 15:29 
>
>>Самое простое - это настроить split DNS, чтобы изнутри имя резолвилось в
>>192.168.2.10, а снаружи в 1.2.3.4.
>
>Вот да, читал про такое, как сделать, не подскажите?

А какой у вас DNS ?

"cisco nat"
Отправлено bromantik , 31-Авг-05 07:50 
>>
>>>Самое простое - это настроить split DNS, чтобы изнутри имя резолвилось в
>>>192.168.2.10, а снаружи в 1.2.3.4.
>>
>>Вот да, читал про такое, как сделать, не подскажите?
>
>А какой у вас DNS ?

да вот если бы у меня :) Попросили помочь с циской просто...
Я вот нат смог настроить, а split - не пойму как...
Там виндовая днска.

"cisco nat"
Отправлено A Clockwork Orange , 31-Авг-05 10:53 
Если клиетских машин немного, пропиши в hosts
"cisco nat"
Отправлено A Clockwork Orange , 31-Авг-05 10:56 
а веб сервер на чем у тебя.
если никс, можно попробовать поднять на нем прозрачный сквид, нс cisco все нужные запросы перекидывать на сквид, сквид будет на локальный веб сервер.
"cisco nat"
Отправлено bromantik , 31-Авг-05 11:27 
>а веб сервер на чем у тебя.
>если никс, можно попробовать поднять на нем прозрачный сквид, нс cisco все
>нужные запросы перекидывать на сквид, сквид будет на локальный веб сервер.
>
Дык вот в том то все и дело... Публичный адрес один.... Он на циске. Внутри виндовй сервер (единственный) все на нем... Для этого порты и пробрасываем...
Вот собственно и возникла трабла, что изнутри люди когда ходят на внешний интерфейс циски, то они не натятся обратно в свою сеть, что в общем-то верно...
Я вот как раз на днях читал про split, но толком пока не понял, а времени мало...
"cisco nat"
Отправлено toor99 , 31-Авг-05 11:46 
>>а веб сервер на чем у тебя.
>>если никс, можно попробовать поднять на нем прозрачный сквид, нс cisco все
>>нужные запросы перекидывать на сквид, сквид будет на локальный веб сервер.
>>
>Дык вот в том то все и дело... Публичный адрес один.... Он
>на циске. Внутри виндовй сервер (единственный) все на нем... Для этого
>порты и пробрасываем...
>Вот собственно и возникла трабла, что изнутри люди когда ходят на внешний
>интерфейс циски, то они не натятся обратно в свою сеть, что
>в общем-то верно...
>Я вот как раз на днях читал про split, но толком пока
>не понял, а времени мало...

Если вы не отвечаете за зону, о которой идет речь, то с DNS по-нормальному сделать не получится. Остается вариант с NAT acl. Покажите строчку, где у вас там NAT  делается. ip nat inside source и так далее.
Не проброс во внутреннюю сеть, а именно nat overload.

Или все-таки так: поднимите на виндовом сервере DNS, на DNS зону, о которой идет речь, и в ней уже делайте такие записи, какие надо. Всем клиентским машинам надо будет сказать, чтобы использовали этот DNS.
Недостаток у этого варианта такой, что если зона (настоящая, а не ваша локальная) изменится, то ваш DNS об этом не узнает.

Что же касается split DNS, то как его поднять на виндовом сервере я, к сожалению, не знаю. Даже не уверен, что это вообще возможно.

"cisco nat"
Отправлено bromantik , 31-Авг-05 12:24 
ДНСку админю не я, но свои люди, то есть рулить её можно, но хотелось бы средствами циски...
Более того есть ноутбуки, которые работают как внутри сети, так и извне.
Строчка вот
ip nat inside source static tcp 192.168.2.10 80 1.2.3.4 80
acl всего один для нат
192.168.2.0/24
"cisco nat"
Отправлено toor99 , 31-Авг-05 12:48 
>ДНСку админю не я, но свои люди, то есть рулить её можно,
>но хотелось бы средствами циски...
>Более того есть ноутбуки, которые работают как внутри сети, так и извне.
>
>Строчка вот
>ip nat inside source static tcp 192.168.2.10 80 1.2.3.4 80
>acl всего один для нат
>192.168.2.0/24

ещё раз, и медленно.

Покажите строчку, где у вас там NAT  делается. ip nat inside source и так далее.
Не проброс во внутреннюю сеть, а именно nat overload.

На всякий случай ещё раз, и по буквам.
Не проброс во внутреннюю сеть, а именно nat overload.

"cisco nat"
Отправлено bromantik , 31-Авг-05 13:51 
>На всякий случай ещё раз, и по буквам.
>Не проброс во внутреннюю сеть, а именно nat overload.
Понял, извиняюсь
вот
ip nat pool ext_ip 1.2.3.4 1.2.3.4 netmask 255.255.255.240
access-list 1 permit 192.168.2.0 0.0.0.255
ip nat inside source list 1 pool ext_ip overload