URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16233
[ Назад ]

Исходное сообщение
"NAT"
Отправлено БРЕДОР , 09-Май-08 23:26

Всем доброго времени суток! Хотелось бы разобраться в одном вопросе.
Топология сети:
Локальная сеть: 172.16.16.0/24
В локальной сети существует некий сервер с адресом: 172.16.16.2
Есть cisco рутер: e0/0: 172.16.16.2, e0/1:85.21.122.3,85.21.122.4 secondary
1)Вся локальная сеть динамически натится на 85.21.122.3.
2)На 85.21.122.4 должен натится только 172.16.16.2.
С первым пунктом все ясно, второй пункт я решил таким образом:
ip nat inside source static 172.16.16.2 85.21.122.4
Но у меня возникла заминка, я с удаленного компьютера легко зашел по RDP на этот сервер, по 85.21.122.4:3389 чему был удивлен.
До этого момента я думал что inside это когда я разрешаю транслировать внутренний ip во внешний, и никак ни с внешнего ip на внутренний. Я нихочу опубликовывать порты внутреннего сервера внаружу. Поясните пожалуйста как это можно сделать, почему получилась такая ситуация и чем же отличается тогда inside от outside.

Содержание

NAT,shavkat, 23:59 , 09-Май-08
- NAT,БРЕДОР, 00:19 , 10-Май-08
- NAT,БРЕДОР, 00:21 , 10-Май-08
NAT,CrAzOiD, 11:59 , 10-Май-08
- NAT,Guest, 10:07 , 11-Май-08
- NAT,Guest, 10:26 , 11-Май-08
  - NAT,БРЕДОР, 22:43 , 11-Май-08
    - NAT,БРЕДОР, 22:50 , 11-Май-08
      - NAT,Nataliya, 13:39 , 12-Май-08
        
        NAT,БРЕДОР, 09:29 , 13-Май-08

Сообщения в этом обсуждении

"NAT"
Отправлено shavkat , 09-Май-08 23:59

>[оверквотинг удален]
>ip nat inside source static 172.16.16.2 85.21.122.4
>Но у меня возникла заминка, я с удаленного компьютера легко зашел по
>RDP на этот сервер, по 85.21.122.4:3389 чему был удивлен.
>До этого момента я думал что inside это когда я разрешаю транслировать
>внутренний ip во внешний, и никак ни с внешнего ip на
>внутренний. Я нихочу опубликовывать порты внутреннего сервера внаружу. Поясните пожалуйста как
>это можно сделать, почему получилась такая ситуация и чем же отличается
>тогда inside от outside.
>
>
Можно позырыть на конфиг?

"NAT"
Отправлено БРЕДОР , 10-Май-08 00:19

>[оверквотинг удален]
>>RDP на этот сервер, по 85.21.122.4:3389 чему был удивлен.
>>До этого момента я думал что inside это когда я разрешаю транслировать
>>внутренний ip во внешний, и никак ни с внешнего ip на
>>внутренний. Я нихочу опубликовывать порты внутреннего сервера внаружу. Поясните пожалуйста как
>>это можно сделать, почему получилась такая ситуация и чем же отличается
>>тогда inside от outside.
>>
>>
>
>Можно позырыть на конфиг?
interface Ethernet0/0
ip address 85.21.122.3 255.255.255.240
ip nat outside
half-duplex
!
interface Ethernet0/1
ip address 172.16.16.254 255.255.255.0
ip nat inside
half-duplex
!
interface Ethernet0/2
no ip address
shutdown
half-duplex
!
interface Ethernet0/3
no ip address
shutdown
half-duplex
!
ip nat pool Inet.3 85.21.122.3 85.21.122.3 netmask 255.255.255.240
ip nat inside source list 1 pool Inet.3 overload
ip nat inside source static 172.16.16.2 85.21.122.4

"NAT"
Отправлено БРЕДОР , 10-Май-08 00:21

>[оверквотинг удален]
>>RDP на этот сервер, по 85.21.122.4:3389 чему был удивлен.
>>До этого момента я думал что inside это когда я разрешаю транслировать
>>внутренний ip во внешний, и никак ни с внешнего ip на
>>внутренний. Я нихочу опубликовывать порты внутреннего сервера внаружу. Поясните пожалуйста как
>>это можно сделать, почему получилась такая ситуация и чем же отличается
>>тогда inside от outside.
>>
>>
>
>Можно позырыть на конфиг?
Да можно, вот выборка:
interface Ethernet0/0
ip address 85.21.122.3 255.255.255.240
ip nat outside
half-duplex
!
interface Ethernet0/1
ip address 172.16.16.254 255.255.255.0
ip nat inside
half-duplex
!
interface Ethernet0/2
no ip address
shutdown
half-duplex
!
interface Ethernet0/3
no ip address
shutdown
half-duplex
!
ip nat pool Inet.3 85.21.122.3 85.21.122.3 netmask 255.255.255.240
ip nat inside source list 1 pool Inet.3 overload
ip nat inside source static 172.16.16.2 85.21.122.4

"NAT"
Отправлено CrAzOiD , 10-Май-08 11:59

>Всем доброго времени суток! Хотелось бы разобраться в одном вопросе.
>Топология сети:
>Локальная сеть: 172.16.16.0/24
>В локальной сети существует некий сервер с адресом: 172.16.16.2
>Есть cisco рутер: e0/0: 172.16.16.2, e0/1:85.21.122.3,85.21.122.4 secondary
здесь опечатка, на роутере другой адрес
>[оверквотинг удален]
>
>С первым пунктом все ясно, второй пункт я решил таким образом:
>ip nat inside source static 172.16.16.2 85.21.122.4
>Но у меня возникла заминка, я с удаленного компьютера легко зашел по
>RDP на этот сервер, по 85.21.122.4:3389 чему был удивлен.
>До этого момента я думал что inside это когда я разрешаю транслировать
>внутренний ip во внешний, и никак ни с внешнего ip на
>внутренний. Я нихочу опубликовывать порты внутреннего сервера внаружу. Поясните пожалуйста как
>это можно сделать, почему получилась такая ситуация и чем же отличается
>тогда inside от outside.
все правильно, вы транслируете адрес в адрес
если не хотите доступность снаружи, закрывайте при помощи ACL и, по желанию, ip inspect
inside отличается от outside тем ЧТО транслировать. В первом случае транслируются source, во втором destination адреса IP пакета

"NAT"
Отправлено Guest , 11-Май-08 10:07

>>это можно сделать, почему получилась такая ситуация и чем же отличается
>>тогда inside от outside.
>
>все правильно, вы транслируете адрес в адрес
>если не хотите доступность снаружи, закрывайте при помощи ACL и, по желанию,
>ip inspect
>
>inside отличается от outside тем ЧТО транслировать. В первом случае транслируются source,
>во втором destination адреса IP пакета
Вопрос тут в static NAT. Он отличается от обычного тем, что это двухсторонняя трансляция.
То есть, если, как в Вашем NAT'е:
ip nat inside source static 172.16.16.2 85.21.122.4
то это значит, что, обращаясь извне на адрес 85.21.122.4, Вы будете попадать на адрес 172.16.16.2.

"NAT"
Отправлено Guest , 11-Май-08 10:26

>
>inside отличается от outside тем ЧТО транслировать. В первом случае транслируются source,
>во втором destination адреса IP пакета
inside и outside нужны для того, чтобы указать с какого интерфейса будет транслироваться source адрес.
Вы когда настраиваете NAT, то еще указываете, что один интерфейс -- inside, а другой -- outside.
Правило ip nat inside source говорит, что у трафика приходящего на inside интерфейс надо транслировать source адрес.
Правило ip nat outside source говорит, что у трафика приходящего на outside интерфейс надо транслировать source адрес.

"NAT"
Отправлено БРЕДОР , 11-Май-08 22:43

>[оверквотинг удален]
>>во втором destination адреса IP пакета
>
>inside и outside нужны для того, чтобы указать с какого интерфейса будет
>транслироваться source адрес.
>Вы когда настраиваете NAT, то еще указываете, что один интерфейс -- inside,
> а другой -- outside.
>Правило ip nat inside source говорит, что у трафика приходящего на inside
>интерфейс надо транслировать source адрес.
>Правило ip nat outside source говорит, что у трафика приходящего на outside
>интерфейс надо транслировать source адрес.
Guest, а если не сложно можно пример, когда необходимо применить ip nat outside..зарнее спасибо!

"NAT"
Отправлено БРЕДОР , 11-Май-08 22:50

>[оверквотинг удален]
>>транслироваться source адрес.
>>Вы когда настраиваете NAT, то еще указываете, что один интерфейс -- inside,
>> а другой -- outside.
>>Правило ip nat inside source говорит, что у трафика приходящего на inside
>>интерфейс надо транслировать source адрес.
>>Правило ip nat outside source говорит, что у трафика приходящего на outside
>>интерфейс надо транслировать source адрес.
>
>Guest, а если не сложно можно пример, когда необходимо применить ip nat
>outside..Правильно ли я понял, что эти строчки эквивалентны:
ip nat inside source 172.16.16.2 85.21.122.3
ip nat outside source 85.21.122.3 172.16.16.2
...Заранее спасибо !!!

"NAT"
Отправлено Nataliya , 12-Май-08 13:39

>>Guest, а если не сложно можно пример, когда необходимо применить ip nat
>>outside..
ip nat outside source list может использоваться в ситуациях, когда у вас есть две внутренние сети с одинаковым диапазоном адресов (например, разных компаний), которые Вам надо соединить между собой.
> Правильно ли я понял, что эти строчки эквивалентны:
>
>ip nat inside source 172.16.16.2 85.21.122.3
>ip nat outside source 85.21.122.3 172.16.16.2
>...Заранее спасибо !!!
Если это трансляция static, то да -- строки эквивалентны
Важный момент при задании правил NAT -- порядок выполнения маршрутизации и трансляции:
-- Когда пакет передается из inside на outside, сначала проверяется таблица маршрутизации (смотрим destination адрес), а потом выполняется трансляция.
-- Когда пакет передается с inside на outside, сначала выполняется трансляция, а потом проверяется таблица маршрутизации

"NAT"
Отправлено БРЕДОР , 13-Май-08 09:29

>[оверквотинг удален]
>>...Заранее спасибо !!!
>
>Если это трансляция static, то да -- строки эквивалентны
>
>Важный момент при задании правил NAT -- порядок выполнения маршрутизации и трансляции:
>
> -- Когда пакет передается из inside на outside, сначала проверяется таблица
>маршрутизации (смотрим destination адрес), а потом выполняется трансляция.
> -- Когда пакет передается с inside на outside, сначала выполняется трансляция,
>а потом проверяется таблица маршрутизации
всем спасибо за участие!