URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17020
[ Назад ]

Исходное сообщение
"Проброс ДНС во внешку."

Отправлено baldyman , 26-Авг-08 16:42 
Всем доброго времени суток.
Есть Cisco 1751, стоит между локалкой и интернетом. Провайдер дал сеть xxx.xxx.130.0/28.
В локалке есть DNS сервер. Master поднять в другом месте не представляется возможным. Подскажите, как можно "вынести" его наружу, только не физически :) Т.е. чтобы днс запрос пришел на внешний интерфейс маршрутизатора, тот переправил его в локалку к ДНС-серверу и потом обратно. (По аналогии с PREROUTING и POSTROUTING в iptables.) Столкнулся с cisco впервые, вот пока что куря маны удалось насобирать:

Internet_Cisco1751#sh run

version 12.2
service config
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service udp-small-servers
service tcp-small-servers
!
hostname Internet_Cisco1751
!
no logging on
enable secret 5 $xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
enable password xxxxxxxxxxxxxxxxx
!
username xxxx privilege 15 password 0 xxxxxxxxxxxxxxxxx
memory-size iomem 25
aaa new-model
!
!
aaa authentication password-prompt password:
aaa authentication username-prompt login:
aaa authentication login default local
aaa authentication login linelist local
aaa authentication login vtylist local
aaa authentication login conslist line
aaa authentication login auxlist local
aaa authentication login without-pass none
aaa authentication ppp default local
aaa authorization exec default local if-authenticated
aaa authorization network default local
aaa session-id common
ip subnet-zero
no ip source-route
!
no ip bootp server
ip cef
!
interface FastEthernet0/0
ip address 172.16.1.1 255.255.255.0
ip access-group 10 in
ip nat inside
speed auto
full-duplex
no cdp enable
!
interface Ethernet1/0
ip address xxx.xxx.130.10 255.255.255.240 secondary
ip address xxx.xxx.130.3 255.255.255.240
ip access-group 101 out
ip nat outside
full-duplex
no cdp enable
!
ip nat pool Internet xxx.xxx.130.4 xxx.xxx.130.14 netmask 255.255.255.240
ip nat inside source list 1 pool Internet
ip classless
ip route 0.0.0.0 0.0.0.0 xxx.xxx.130.1
no ip http server
!
!
access-list 1 permit 172.16.1.0 0.0.0.255
access-list 10 permit 172.16.0.0 0.0.255.255
access-list 101 deny   tcp any any eq telnet
access-list 101 permit tcp 172.16.1.0 0.0.0.255 any eq telnet
radius-server authorization permit missing Service-Type
!
line con 0
exec-timeout 0 0
privilege level 7
password xxxxxxxxxx
login authentication conslist
line aux 0
line vty 0 4
access-class 28 out
privilege level 7
password xxxxxxxxxx
login authentication vtylist
!
no scheduler allocate
end


Содержание

Сообщения в этом обсуждении
"Проброс ДНС во внешку."
Отправлено CrAzOiD , 26-Авг-08 16:47 
>[оверквотинг удален]
> login authentication conslist
>line aux 0
>line vty 0 4
> access-class 28 out
> privilege level 7
> password xxxxxxxxxx
> login authentication vtylist
>!
>no scheduler allocate
>end

ip nat inside soutce static tcp xxx.xxx.xxx.xxx 53 yyy.yyy.yyy.yyy 53
ip nat inside soutce static udp xxx.xxx.xxx.xxx 53 yyy.yyy.yyy.yyy 53

xxx.xxx.xxx.xxx - внутренний адрес где стоит DNS
yyy.yyy.yyy.yyy - внешний адрес


"Проброс ДНС во внешку."
Отправлено baldyman , 26-Авг-08 16:50 
>ip nat inside soutce static tcp xxx.xxx.xxx.xxx 53 yyy.yyy.yyy.yyy 53
>ip nat inside soutce static udp xxx.xxx.xxx.xxx 53 yyy.yyy.yyy.yyy 53
>
>xxx.xxx.xxx.xxx - внутренний адрес где стоит DNS
>yyy.yyy.yyy.yyy - внешний адрес

Ну и я так полагаю, что например если я почтовый сервак поставлю у себя в локалке, то
для 25 и 110 портов будет по аналогии всё ?


"Проброс ДНС во внешку."
Отправлено Самый главный аноним , 26-Авг-08 17:10 
>>ip nat inside soutce static tcp xxx.xxx.xxx.xxx 53 yyy.yyy.yyy.yyy 53
>>ip nat inside soutce static udp xxx.xxx.xxx.xxx 53 yyy.yyy.yyy.yyy 53
>>
>>xxx.xxx.xxx.xxx - внутренний адрес где стоит DNS
>>yyy.yyy.yyy.yyy - внешний адрес
>
>Ну и я так полагаю, что например если я почтовый сервак поставлю
>у себя в локалке, то
>для 25 и 110 портов будет по аналогии всё ?

Может не стоит 110 открывать снаружи? Есть pop3 over SSL/TLS (995)... А так аналогично, только udp не надо.


"Проброс ДНС во внешку."
Отправлено CrAzOiD , 26-Авг-08 18:14 
>>ip nat inside soutce static tcp xxx.xxx.xxx.xxx 53 yyy.yyy.yyy.yyy 53
>>ip nat inside soutce static udp xxx.xxx.xxx.xxx 53 yyy.yyy.yyy.yyy 53
>>
>>xxx.xxx.xxx.xxx - внутренний адрес где стоит DNS
>>yyy.yyy.yyy.yyy - внешний адрес
>
>Ну и я так полагаю, что например если я почтовый сервак поставлю
>у себя в локалке, то
>для 25 и 110 портов будет по аналогии всё ?

угу... тока внимательно думать что и как открывать


"Проброс ДНС во внешку."
Отправлено baldyman , 27-Авг-08 16:13 
Чего ещё хотел спросить...
Есть у меня такие строки в конфиге:
interface Ethernet1/0
ip address xxx.xxx.130.10 255.255.255.240 secondary
ip address xxx.xxx.130.3 255.255.255.240
ip access-group 101 out
ip nat outside
full-duplex
no cdp enable
!
ip nat pool Internet xxx.xxx.130.4 xxx.xxx.130.14 netmask 255.255.255.240
ip nat inside source list 1 pool Internet
ip classless
ip route 0.0.0.0 0.0.0.0 xxx.xxx.130.1
no ip http server
!
!
access-list 1 permit 172.16.1.0 0.0.0.255
access-list 101 deny   tcp any any eq telnet
access-list 101 permit tcp 172.16.1.0 0.0.0.255 any eq telnet

Когда из локалки кто-то выходит в инет, то во внешке им сопоставляются адреса из ip nat pool Internet.

так вот, мой ДНС ещё являетяс и слэйвом другого сервера, но зоны с мастера потянуть не могёт по причине того, что на мастере прописана директива по соображениям безопасности:
zone "xxxxxx.ru" IN {
        type master;
        file "named.xxxxxx";
        allow-transfer { xxx.xxx.130.10; xxx.xxx.243.90; };

Теперь собственно вопрос такой, как заставить, чтобы ответ от ДНС-сервера, который находится за маршрутизатором возвращался с адреса xxx.xxx.130.10, который на eth1/0 прописан, как секондари. Или вообще, как по другому можно организовать всё это дело, например так, чтобы назначить нужное кол-во адресов на внешнем интерфейсе, и чтобы в соответствии с определенными правилами на адрес приходил пакет из вне и результат был возвращен с того адреса, на который пришел пакет. И ещё, если можно, то наставьте на истинный путь, как можно это дело всё организовать без пула адресов.


"Проброс ДНС во внешку."
Отправлено CrAzOiD , 27-Авг-08 16:55 
>[оверквотинг удален]
>прописана директива по соображениям безопасности:
>zone "xxxxxx.ru" IN {
>        type master;
>        file "named.xxxxxx";
>        allow-transfer { xxx.xxx.130.10; xxx.xxx.243.90;
>};
>
>Теперь собственно вопрос такой, как заставить, чтобы ответ от ДНС-сервера, который находится
>за маршрутизатором возвращался с адреса xxx.xxx.130.10, который на eth1/0 прописан, как
>секондари. Или вообще, как по другому можно организовать всё это дело,

ip nat inside source static udp DNS-SERVER 53 xxx.xxx.130.10 53 ext
ip nat inside source static tcp DNS-SERVER 53 xxx.xxx.130.10 53 ext

>например так, чтобы назначить нужное кол-во адресов на внешнем интерфейсе, и
>чтобы в соответствии с определенными правилами на адрес приходил пакет из
>вне и результат был возвращен с того адреса, на который пришел
>пакет. И ещё, если можно, то наставьте на истинный путь, как
>можно это дело всё организовать без пула адресов.

не очень понял "это все дело" что значит?
транслитуйте не через пул, а на адрес или интерфейс с указанием что на что транслируется


"Проброс ДНС во внешку."
Отправлено baldyman , 27-Авг-08 17:06 
>не очень понял "это все дело" что значит?
>транслитуйте не через пул, а на адрес или интерфейс с указанием что
>на что транслируется

В конфигурировании cisco я полный дилетант.
Не могу понять как можно в данном случае обойтись без пула адресов.
Если можно, то покажите пример как просто сделать так, чтобы на внешнем интерфейсе было 4 адреса:
Через первый выходилть в инетрнет по страницам лазить,
на втором был dns-сервер (трансляция из локальной сети),
на 3-м smtp и на 4-м pop3 (так же трансляция адреса из локалки во вне).
И всё это без пула.


"Проброс ДНС во внешку."
Отправлено CrAzOiD , 27-Авг-08 17:12 
>[оверквотинг удален]
>В конфигурировании cisco я полный дилетант.
>Не могу понять как можно в данном случае обойтись без пула адресов.
>
>Если можно, то покажите пример как просто сделать так, чтобы на внешнем
>интерфейсе было 4 адреса:
>Через первый выходилть в инетрнет по страницам лазить,
>на втором был dns-сервер (трансляция из локальной сети),
>на 3-м smtp и на 4-м pop3 (так же трансляция адреса из
>локалки во вне).
>И всё это без пула.

на надо на внешнем интерфейсе адреса плодить
как это делается я показал
вот читай, тут много примеров
http://www.cisco.com/en/US/tech/tk648/tk361/tk438/tsd_techno...