Имеется Cisco 1841.
100.100.100.101 - мой внешний адрес
192.168.10.49/24 - на этом адресе мой squidПоднял сервер на юниксе. На нем squid и веб-сервер (для веба прописал статический NAT).
Наружу ходят через squid, а так же несколько машин напямую(мимо прокси)
Делаю на роутере:
#sh ip nat transl
tcp 100.100.100.101:56528 192.168.5.49:56528 64.12.25.193:5190 64.12.25.193:5190
tcp 100.100.100.101:64391 192.168.5.49:64391 205.188.1.120:5190 205.188.1.120:5190
tcp 100.100.100.101:50900 192.168.5.49:50900 217.112.37.20:80 217.112.37.20:80
tcp 100.100.100.101:51331 192.168.5.49:51331 217.112.37.20:80 217.112.37.20:80Задача:
трафик с наружи должен возвращаться через те же порты с каких была инициализация.добавил в ACL:
permit tcp any any established - результата ни какого.
Убирал static NAT, пробовал извращатся.
Не могу понять почему в моем варианте не работает "established".Привожу конфиг:
!
interface FastEthernet0/0
description Connection to wan
ip address 100.100.100.101 255.255.255.252
ip access-group internet in
ip nat outside
...
!
interface FastEthernet0/1
description Connection to LAN
ip address 192.168.10.254 255.255.255.0
ip access-group inside in
ip nat inside
...
!
ip route 0.0.0.0 0.0.0.0 100.100.100.100
ip route 100.100.100.0 255.255.255.248 FastEthernet0/0
!
ip nat inside source list nat interface FastEthernet0/0 overload
ip nat inside source static tcp 192.168.5.49 80 100.100.100.101 80 extendable
ip nat inside source static tcp 192.168.5.49 9996 100.100.100.101 9996 extendable
!
!
ip access-list extended inside
permit ip any any
deny ip any any log
!
ip access-list extended internet
permit icmp any any echo-reply
permit icmp any any time-exceeded
permit icmp any any packet-too-big
permit icmp any any traceroute
permit icmp any any unreachable
permit tcp any any eq 443
permit tcp 192.168.10.49 255.255.255.0 eq www
permit tcp 192.168.10.49 255.255.255.0 eq domain
permit tcp 192.168.10.49 255.255.255.0 eq ntp
permit tcp 192.168.10.49 255.255.255.0 eq 5190
...
permit tcp 192.168.10.50 255.255.255.0 eq www
permit tcp 192.168.10.50 255.255.255.0 eq 5959
permit tcp 192.168.10.50 255.255.255.0 eq domain
...
permit tcp any host 100.100.100.101 eq www
permit tcp any any established
deny ip any any
!ip access-list extended nat
permit ip host 192.168.10.49 any
permit ip host 192.168.10.50 any
...
deny ip any any
Может я неправильно вопрос сформулирвал, подскажите почему в моем в случае
permit tcp any any established не срабатывает.
>Может я неправильно вопрос сформулирвал, подскажите почему в моем в случае
>permit tcp any any established не срабатывает.Да неужели нет знатоков по ACL
established установленные соединения? я так понимаю это ответные соединения на уже посланные запросы. Т.е
Одним ACL ты разрешаешь (привязать его нужно на $ext if out)
access-list 150 permit tcp $Ext IP any eq www
а другой на разрешить ответные соединения)(привязать его нужно на вход $ext if in)
access-list 150 permit tcp any $Ext establishedвот для чего нужно established
To GURU Ведь правильно?