URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 11778
[ Назад ]
Исходное сообщение
"подскажите по ACL"
Отправлено nick , 20-Окт-06 12:14 
столкнулся с проблемой с ACL. на внешний интерфейс ставлю in и out
для out permit ip any any, как правильно написать, синтаксис непойму, чтобы я мог пользоваться FTP и к моему серваку могли по фтп подрубаться?
вот что есть
interface GigabitEthernet0/0
ip address IP_mask
ip nat inside
!
interface GigabitEthernet0/1
ip address IP_mask2
ip nat outside
ip access-group www in

ip nat inside source list NAT interface GigabitEthernet0/1 overload
ip nat inside source static IP_сервака interface GigabitEthernet0/1

ip access-list extended www
permit tcp any eq 20 any
permit udp any eq 53 any
permit icmp any any
deny ip any any

правильно синтаксис использую? при таком раскладе работает выход в инет, но доступа к серваку нет. что нужно правильно писать? пробовал и так permit tcp any any eq 20, может к нам и есть доступ но у меня зато нет выхода по FTP.


Содержание
Сообщения в этом обсуждении
"подскажите по ACL"
Отправлено ilya , 20-Окт-06 14:51 
>столкнулся с проблемой с ACL. на внешний интерфейс ставлю in и out
>
>для out permit ip any any, как правильно написать, синтаксис непойму, чтобы
>я мог пользоваться FTP и к моему серваку могли по фтп
>подрубаться?
>вот что есть
>interface GigabitEthernet0/0
> ip address IP_mask
> ip nat inside
> !
>interface GigabitEthernet0/1
> ip address IP_mask2
> ip nat outside
> ip access-group www in
>
>ip nat inside source list NAT interface GigabitEthernet0/1 overload
>ip nat inside source static IP_сервака interface GigabitEthernet0/1
>
>ip access-list extended www
> permit tcp any eq 20 any
> permit udp any eq 53 any
> permit icmp any any
> deny ip any any
>
>правильно синтаксис использую? при таком раскладе работает выход в инет, но доступа
>к серваку нет. что нужно правильно писать? пробовал и так permit
>tcp any any eq 20, может к нам и есть доступ
>но у меня зато нет выхода по FTP.

дык FTP еще 21й порт нужен...

"подскажите по ACL"
Отправлено nick , 20-Окт-06 15:14 
да я знаю что и 21 и 20 но по сути ,  я вот непойму может мои проблемы из-за
вот этих строк
ip nat inside source list NAT interface GigabitEthernet0/1 overload
ip nat inside source static IP_сервака interface GigabitEthernet0/1
может тут нужно иначе
ip nat inside source static IP_сервака interface ip_внешнего интерфейса
"подскажите по ACL"
Отправлено ilya , 20-Окт-06 15:21 
>да я знаю что и 21 и 20 но по сути ,
> я вот непойму может мои проблемы из-за
>вот этих строк
>ip nat inside source list NAT interface GigabitEthernet0/1 overload
>ip nat inside source static IP_сервака interface GigabitEthernet0/1
>может тут нужно иначе
>ip nat inside source static IP_сервака interface ip_внешнего интерфейса


ф поиск (или по форуму или по cisco.com)
там все есть
если на сервере адреса "серые" то нужна только одна запись - static

"подскажите по ACL"
Отправлено angelweb , 20-Окт-06 15:05 
>столкнулся с проблемой с ACL. на внешний интерфейс ставлю in и out
>
>для out permit ip any any, как правильно написать, синтаксис непойму, чтобы
>я мог пользоваться FTP и к моему серваку могли по фтп
>подрубаться?
>вот что есть
>interface GigabitEthernet0/0
> ip address IP_mask
> ip nat inside
> !
>interface GigabitEthernet0/1
> ip address IP_mask2
> ip nat outside
> ip access-group www in
>
>ip nat inside source list NAT interface GigabitEthernet0/1 overload
>ip nat inside source static IP_сервака interface GigabitEthernet0/1
>
>ip access-list extended www
> permit tcp any eq 20 any
> permit udp any eq 53 any
> permit icmp any any
> deny ip any any
>
>правильно синтаксис использую? при таком раскладе работает выход в инет, но доступа
>к серваку нет. что нужно правильно писать? пробовал и так permit
>tcp any any eq 20, может к нам и есть доступ
>но у меня зато нет выхода по FTP.


В какой моде работает FTP сервер ? Passive ?

"подскажите по ACL"
Отправлено nick , 20-Окт-06 15:15 
>В какой моде работает FTP сервер ? Passive ?

честно сказать незнаю! но приотсутсвии ACL все пашет как нужно!


"подскажите по ACL"
Отправлено nick , 20-Окт-06 15:39 
>>В какой моде работает FTP сервер ? Passive ?
>
>честно сказать незнаю! но приотсутсвии ACL все пашет как нужно!


мне нужно разрешить доступ к к серваку из инета только по портам вот в этом вся загвоздка!

"подскажите по ACL"
Отправлено leveler , 23-Окт-06 05:47 
>столкнулся с проблемой с ACL. на внешний интерфейс ставлю in и out
>
>для out permit ip any any, как правильно написать, синтаксис непойму, чтобы
>я мог пользоваться FTP и к моему серваку могли по фтп
>подрубаться?
>вот что есть
>interface GigabitEthernet0/0
> ip address IP_mask
> ip nat inside
> !
>interface GigabitEthernet0/1
> ip address IP_mask2
> ip nat outside
> ip access-group www in
>
>ip nat inside source list NAT interface GigabitEthernet0/1 overload
>ip nat inside source static IP_сервака interface GigabitEthernet0/1
>
>ip access-list extended www
> permit tcp any eq 20 any
> permit udp any eq 53 any
> permit icmp any any
> deny ip any any
>
>правильно синтаксис использую? при таком раскладе работает выход в инет, но доступа
>к серваку нет. что нужно правильно писать? пробовал и так permit
>tcp any any eq 20, может к нам и есть доступ
>но у меня зато нет выхода по FTP.

Попробуйте покопать в сторону "ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable" вот по этой ссылке: http://cisco.com/en/US/tech/tk175/tk15/technologies_configur...
То есть, просто так за натом тачку мы не увидим. Для того, чтобы её увидить, надо сделать статичискую трансляцию. Собственно, из-за этого за натом в Варкрафт, например, хостить не получается - рутер не знает, кому предназначен входящий TCP пакет, который падает на global inside адрес. А вообще, нат хорошо описан в книжках по CCNA.
Если я не прав, скажите где.