День добрый всем.
Есть вопрос.
Ситуация:
есть циска 28 серии, есть на ней 2 внешних интерфейса(фа 0/0 и 0/1) и 1 (влан) внутренний
1 внешний имеет белый ИП, второй серый ИП - принимает данные с другой подсети(туннеля нет). Вопрос!!! Как перенаправить порт(25 и 110) с одного внешнего (серого) интерфейса на другой (белый) интерфейс?
>День добрый всем.
>Есть вопрос.
>Ситуация:
>есть циска 28 серии, есть на ней 2 внешних интерфейса(фа 0/0 и
>0/1) и 1 (влан) внутренний
>1 внешний имеет белый ИП, второй серый ИП - принимает данные с
>другой подсети(туннеля нет). Вопрос!!! Как перенаправить порт(25 и 110) с одного
>внешнего (серого) интерфейса на другой (белый) интерфейс?перенаправить что значит? слушать 25 и 110ый порты на Fa0/1 и все соединения принимающиеся на порт перенаправлять куда-то в интернет?
да
>дато есть нужен smtp/pop3 прокси?
Тогда используй НАТ.
>>да
>
>то есть нужен smtp/pop3 прокси?
>
>Тогда используй НАТ.пробовал, не проканало, доходит до внешнего серого и встает:
ip nat inside source static tcp <IP смтп> 25 interface FastEthernet0/1 25...
пробовал
ip nat outside source static tcp <IP смтп> 25 interface FastEthernet0/1 25
результат тот же
или ты про сторонний, не на циске прокси
>или ты про сторонний, не на циске проксипокажи #sho run {fa0/0 fa0/1}
#sho run | i ip
>>или ты про сторонний, не на циске прокси
>
>покажи #sho run {fa0/0 fa0/1}
>#sho run | i ipinterface FastEthernet0/0
description connect to sclad
ip address 192.168.xxx.xxx 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
endinterface FastEthernet0/1
description Connect Internet
ip address 2xx.xxx.xxx.xxx 255.255.255.248
ip access-group in1 in
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
endip subnet-zero
ip cef
ip dhcp use vrf connected
ip dhcp pool TeVadI
ip flow-cache timeout inactive 60
ip flow-cache timeout active 10
ip name-server 212.49.96.129
ip name-server 212.49.96.101
no ip rcmd domain-lookup
ip rcmd rsh-enable
ip rcmd remote-host netams 192.168.xxx.xxx root enable
crypto ipsec transform-set TUNNEL esp-3des esp-sha-hmac
crypto ipsec profile P1
description -==sclad==-
ip unnumbered Vlan200
no ip redirects
no ip proxy-arp
tunnel protection ipsec profile P1
ip unnumbered Vlan200
no ip redirects
no ip proxy-arp
tunnel protection ipsec profile P1
no ip address
description connect to catalyst TRANK
ip address 192.168.xxx.xxx 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
description Connect Internet
ip address 2xx.xxx.xxx.xxx 255.255.255.248
ip access-group in1 in
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
description to lan
no ip address
no ip address
ip address 192.168.xxx.xxx 255.255.255.0
no ip redirects
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
ip route 0.0.0.0 0.0.0.0 2xx.xxx.xxx.xxx
ip route 192.168.xxx.xxx 255.255.255.0 Tunnel101
ip route 192.168.xxx.xxx 255.255.255.128 Tunnel102
ip route 192.168.xxx.xxx 255.255.255.0 (внешний серый IP)
ip dns server
ip dns spoofing
ip flow-export source FastEthernet0/1/0
ip flow-export version 5 origin-as
ip flow-export destination 192.168.xxx.xxx (port)
ip flow-top-talkers
no ip http server
ip http authentication aaa
no ip http secure-server
ip nat inside source list NATUsers interface FastEthernet0/1 overload
ip nat inside source static tcp (внешний pop) 110 interface FastEthernet0/0 110
ip nat inside source static tcp (внешний smtp) 25 interface FastEthernet0/0 25
ip nat inside source static tcp 192.168.xxx.xxx 3389 interface FastEthernet0/0 3389
ip nat inside source static tcp 192.168.xxx.xxx 5222 interface FastEthernet0/1 5222
ip access-list extended NATUsers
deny ip 192.168.xxx.0 0.0.0.255 10.0.0.0 0.255.255.255
deny ip 192.168.xxx.0 0.0.0.255 172.16.0.0 0.15.255.255
deny ip host 192.168.xxx.0 192.168.0.0 0.0.255.255
permit ip 192.168.xxx.0 0.0.0.255 any
permit ip 192.168.xxx.0 0.0.0.255 any
ip access-list extended in1
deny ip host 2xx.xxx.xxx.xxx any
deny ip 0.0.0.0 1.255.255.255 any
deny ip 2.0.0.0 0.255.255.255 any
deny ip 5.0.0.0 0.255.255.255 any
deny ip 14.0.0.0 0.255.255.255 any
deny ip 23.0.0.0 0.255.255.255 any
deny ip 27.0.0.0 0.255.255.255 any
deny ip 31.0.0.0 0.255.255.255 any
deny ip 36.0.0.0 1.255.255.255 any
deny ip 39.0.0.0 0.255.255.255 any
deny ip 42.0.0.0 0.255.255.255 any
deny ip 46.0.0.0 0.255.255.255 any
deny ip 49.0.0.0 0.255.255.255 any
deny ip 50.0.0.0 0.255.255.255 any
deny ip 100.0.0.0 3.255.255.255 any
deny ip 104.0.0.0 7.255.255.255 any
deny ip 112.0.0.0 1.255.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip 169.254.0.0 0.0.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 173.0.0.0 0.255.255.255 any
deny ip 174.0.0.0 1.255.255.255 any
deny ip 176.0.0.0 7.255.255.255 any
deny ip 184.0.0.0 1.255.255.255 any
deny ip 192.0.2.0 0.0.0.255 any
deny ip 197.0.0.0 0.255.255.255 any
deny ip 198.18.0.0 0.1.255.255 any
deny ip 224.0.0.0 31.255.255.255 any
deny ip host 65.105.140.210 any
deny ip host 62.105.149.114 any
deny ip host 212.44.136.194 any
deny ip host 212.119.216.134 any
deny ip host 93.186.228.129 any
deny ip host 93.186.228.130 any
deny ip host 93.186.224.233 any
deny ip host 93.186.224.234 any
deny ip host 93.186.224.235 any
deny ip host 93.186.224.236 any
deny ip host 93.186.224.237 any
deny ip host 93.186.224.238 any
deny ip host 93.186.224.239 any
deny ip host 93.186.225.6 any
deny ip host 93.186.225.211 any
deny ip host 93.186.225.212 any
deny ip host 93.186.226.4 any
deny ip host 93.186.226.5 any
deny ip host 93.186.226.129 any
deny ip host 93.186.226.130 any
deny ip host 93.186.227.123 any
deny ip host 93.186.227.124 any
deny ip host 93.186.227.125 any
deny ip host 93.186.227.126 any
deny ip host 93.186.227.129 any
deny ip host 93.186.227.130 any
deny ip any any log
ip access-list extended in2
deny ip host 2xx.xxx.xxx.xxx any
deny ip 0.0.0.0 1.255.255.255 any
deny ip 2.0.0.0 0.255.255.255 any
deny ip 5.0.0.0 0.255.255.255 any
deny ip 14.0.0.0 0.255.255.255 any
deny ip 23.0.0.0 0.255.255.255 any
deny ip 27.0.0.0 0.255.255.255 any
deny ip 31.0.0.0 0.255.255.255 any
deny ip 36.0.0.0 1.255.255.255 any
deny ip 39.0.0.0 0.255.255.255 any
deny ip 42.0.0.0 0.255.255.255 any
deny ip 46.0.0.0 0.255.255.255 any
deny ip 49.0.0.0 0.255.255.255 any
deny ip 50.0.0.0 0.255.255.255 any
deny ip 100.0.0.0 3.255.255.255 any
deny ip 104.0.0.0 7.255.255.255 any
deny ip 112.0.0.0 1.255.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip 169.254.0.0 0.0.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 173.0.0.0 0.255.255.255 any
deny ip 174.0.0.0 1.255.255.255 any
deny ip 176.0.0.0 7.255.255.255 any
deny ip 184.0.0.0 1.255.255.255 any
deny ip 192.0.2.0 0.0.0.255 any
deny ip 197.0.0.0 0.255.255.255 any
deny ip 198.18.0.0 0.1.255.255 any
deny ip 224.0.0.0 31.255.255.255 any
deny ip any any log
ip access-list extended out1
deny ip 42.0.0.0 0.255.255.255 any
deny ip 0.0.0.0 1.255.255.255 any
deny ip 2.0.0.0 0.255.255.255 any
deny ip 5.0.0.0 0.255.255.255 any
deny ip 10.0.0.0 0.255.255.255 any
deny ip 14.0.0.0 0.255.255.255 any
deny ip 23.0.0.0 0.255.255.255 any
deny ip 27.0.0.0 0.255.255.255 any
deny ip 31.0.0.0 0.255.255.255 any
deny ip 36.0.0.0 1.255.255.255 any
deny ip 39.0.0.0 0.255.255.255 any
deny ip 46.0.0.0 0.255.255.255 any
deny ip 49.0.0.0 0.255.255.255 any
deny ip 50.0.0.0 0.255.255.255 any
deny ip 100.0.0.0 3.255.255.255 any
deny ip 104.0.0.0 7.255.255.255 any
deny ip 112.0.0.0 1.255.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip 169.254.0.0 0.0.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 173.0.0.0 0.255.255.255 any
deny ip 174.0.0.0 1.255.255.255 any
deny ip 176.0.0.0 7.255.255.255 any
deny ip 184.0.0.0 1.255.255.255 any
deny ip 192.0.2.0 0.0.0.255 any
deny ip 197.0.0.0 0.255.255.255 any
deny ip 198.18.0.0 0.1.255.255 any
deny ip 223.0.0.0 0.255.255.255 any
deny ip 224.0.0.0 31.255.255.255 any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
ip access-list extended pochta
access-list 100 dynamic NETAMS
deny ip any any
access-list 100 permit ip any any
match ip address 11
match ip address pochta
>>или ты про сторонний, не на циске прокси
>
>покажи #sho run {fa0/0 fa0/1}
>#sho run | i ipinterface FastEthernet0/0
description connect to sclad
ip address 192.168.xxx.xxx 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
endinterface FastEthernet0/1
description Connect Internet
ip address 2xx.xxx.xxx.xxx 255.255.255.248
ip access-group in1 in
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
endip subnet-zero
ip cef
ip dhcp use vrf connected
ip dhcp pool Firma
ip flow-cache timeout inactive 60
ip flow-cache timeout active 10
ip name-server 212.49.96.129
ip name-server 212.49.96.101
no ip rcmd domain-lookup
ip rcmd rsh-enable
ip rcmd remote-host netams 192.168.xxx.xxx root enable
crypto ipsec transform-set TUNNEL esp-3des esp-sha-hmac
crypto ipsec profile P1
description -==sclad==-
ip unnumbered Vlan200
no ip redirects
no ip proxy-arp
tunnel protection ipsec profile P1
ip unnumbered Vlan200
no ip redirects
no ip proxy-arp
tunnel protection ipsec profile P1
no ip address
description connect to catalyst TRANK
ip address 192.168.xxx.xxx 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
description Connect Internet
ip address 2xx.xxx.xxx.xxx 255.255.255.248
ip access-group in1 in
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
description to lan
no ip address
no ip address
ip address 192.168.xxx.xxx 255.255.255.0
no ip redirects
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
ip route 0.0.0.0 0.0.0.0 2xx.xxx.xxx.xxx
ip route 192.168.xxx.xxx 255.255.255.0 Tunnel101
ip route 192.168.xxx.xxx 255.255.255.128 Tunnel102
ip route 192.168.xxx.xxx 255.255.255.0 (внешний серый IP)
ip dns server
ip dns spoofing
ip flow-export source FastEthernet0/1/0
ip flow-export version 5 origin-as
ip flow-export destination 192.168.xxx.xxx (port)
ip flow-top-talkers
no ip http server
ip http authentication aaa
no ip http secure-server
ip nat inside source list NATUsers interface FastEthernet0/1 overload
ip nat inside source static tcp (внешний pop) 110 interface FastEthernet0/0 110
ip nat inside source static tcp (внешний smtp) 25 interface FastEthernet0/0 25
ip nat inside source static tcp 192.168.xxx.xxx 3389 interface FastEthernet0/0 3389
ip nat inside source static tcp 192.168.xxx.xxx 5222 interface FastEthernet0/1 5222
ip access-list extended NATUsers
deny ip 192.168.xxx.0 0.0.0.255 10.0.0.0 0.255.255.255
deny ip 192.168.xxx.0 0.0.0.255 172.16.0.0 0.15.255.255
deny ip host 192.168.xxx.0 192.168.0.0 0.0.255.255
permit ip 192.168.xxx.0 0.0.0.255 any
permit ip 192.168.xxx.0 0.0.0.255 any
ip access-list extended in1
deny ip host 2xx.xxx.xxx.xxx any
deny ip 0.0.0.0 1.255.255.255 any
deny ip 2.0.0.0 0.255.255.255 any
deny ip 5.0.0.0 0.255.255.255 any
deny ip 14.0.0.0 0.255.255.255 any
deny ip 23.0.0.0 0.255.255.255 any
deny ip 27.0.0.0 0.255.255.255 any
deny ip 31.0.0.0 0.255.255.255 any
deny ip 36.0.0.0 1.255.255.255 any
deny ip 39.0.0.0 0.255.255.255 any
deny ip 42.0.0.0 0.255.255.255 any
deny ip 46.0.0.0 0.255.255.255 any
deny ip 49.0.0.0 0.255.255.255 any
deny ip 50.0.0.0 0.255.255.255 any
deny ip 100.0.0.0 3.255.255.255 any
deny ip 104.0.0.0 7.255.255.255 any
deny ip 112.0.0.0 1.255.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip 169.254.0.0 0.0.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 173.0.0.0 0.255.255.255 any
deny ip 174.0.0.0 1.255.255.255 any
deny ip 176.0.0.0 7.255.255.255 any
deny ip 184.0.0.0 1.255.255.255 any
deny ip 192.0.2.0 0.0.0.255 any
deny ip 197.0.0.0 0.255.255.255 any
deny ip 198.18.0.0 0.1.255.255 any
deny ip 224.0.0.0 31.255.255.255 any
deny ip host 65.105.140.210 any
deny ip host 62.105.149.114 any
deny ip host 212.44.136.194 any
deny ip host 212.119.216.134 any
deny ip host 93.186.228.129 any
deny ip host 93.186.228.130 any
deny ip host 93.186.224.233 any
deny ip host 93.186.224.234 any
deny ip host 93.186.224.235 any
deny ip host 93.186.224.236 any
deny ip host 93.186.224.237 any
deny ip host 93.186.224.238 any
deny ip host 93.186.224.239 any
deny ip host 93.186.225.6 any
deny ip host 93.186.225.211 any
deny ip host 93.186.225.212 any
deny ip host 93.186.226.4 any
deny ip host 93.186.226.5 any
deny ip host 93.186.226.129 any
deny ip host 93.186.226.130 any
deny ip host 93.186.227.123 any
deny ip host 93.186.227.124 any
deny ip host 93.186.227.125 any
deny ip host 93.186.227.126 any
deny ip host 93.186.227.129 any
deny ip host 93.186.227.130 any
deny ip any any log
ip access-list extended in2
deny ip host 2xx.xxx.xxx.xxx any
deny ip 0.0.0.0 1.255.255.255 any
deny ip 2.0.0.0 0.255.255.255 any
deny ip 5.0.0.0 0.255.255.255 any
deny ip 14.0.0.0 0.255.255.255 any
deny ip 23.0.0.0 0.255.255.255 any
deny ip 27.0.0.0 0.255.255.255 any
deny ip 31.0.0.0 0.255.255.255 any
deny ip 36.0.0.0 1.255.255.255 any
deny ip 39.0.0.0 0.255.255.255 any
deny ip 42.0.0.0 0.255.255.255 any
deny ip 46.0.0.0 0.255.255.255 any
deny ip 49.0.0.0 0.255.255.255 any
deny ip 50.0.0.0 0.255.255.255 any
deny ip 100.0.0.0 3.255.255.255 any
deny ip 104.0.0.0 7.255.255.255 any
deny ip 112.0.0.0 1.255.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip 169.254.0.0 0.0.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 173.0.0.0 0.255.255.255 any
deny ip 174.0.0.0 1.255.255.255 any
deny ip 176.0.0.0 7.255.255.255 any
deny ip 184.0.0.0 1.255.255.255 any
deny ip 192.0.2.0 0.0.0.255 any
deny ip 197.0.0.0 0.255.255.255 any
deny ip 198.18.0.0 0.1.255.255 any
deny ip 224.0.0.0 31.255.255.255 any
deny ip any any log
ip access-list extended out1
deny ip 42.0.0.0 0.255.255.255 any
deny ip 0.0.0.0 1.255.255.255 any
deny ip 2.0.0.0 0.255.255.255 any
deny ip 5.0.0.0 0.255.255.255 any
deny ip 10.0.0.0 0.255.255.255 any
deny ip 14.0.0.0 0.255.255.255 any
deny ip 23.0.0.0 0.255.255.255 any
deny ip 27.0.0.0 0.255.255.255 any
deny ip 31.0.0.0 0.255.255.255 any
deny ip 36.0.0.0 1.255.255.255 any
deny ip 39.0.0.0 0.255.255.255 any
deny ip 46.0.0.0 0.255.255.255 any
deny ip 49.0.0.0 0.255.255.255 any
deny ip 50.0.0.0 0.255.255.255 any
deny ip 100.0.0.0 3.255.255.255 any
deny ip 104.0.0.0 7.255.255.255 any
deny ip 112.0.0.0 1.255.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip 169.254.0.0 0.0.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 173.0.0.0 0.255.255.255 any
deny ip 174.0.0.0 1.255.255.255 any
deny ip 176.0.0.0 7.255.255.255 any
deny ip 184.0.0.0 1.255.255.255 any
deny ip 192.0.2.0 0.0.0.255 any
deny ip 197.0.0.0 0.255.255.255 any
deny ip 198.18.0.0 0.1.255.255 any
deny ip 223.0.0.0 0.255.255.255 any
deny ip 224.0.0.0 31.255.255.255 any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
ip access-list extended pochta
access-list 100 dynamic NETAMS
deny ip any any
access-list 100 permit ip any any
match ip address 11
match ip address pochta
упс
два раза запостил
Модер, плз затри 1 комент
А где inside?
interface FastEthernet0/0
ip nat outsideinterface FastEthernet0/1
ip nat outside
ну и зачем выкладывать столько конфиг-шлака не по делу? 0.о
>А где inside?interface FastEthernet0/1/0
description to lan
switchport trunk native vlan 200
switchport mode trunkэто внешние интерфейсы как я и говорил ранее
>interface FastEthernet0/0
>ip nat outside
>
>interface FastEthernet0/1
>ip nat outside
>
>
>ну и зачем выкладывать столько конфиг-шлака не по делу? 0.очто попросили то и выложил :(
тем не менее вариантs не работают:
ни
ip nat inside source static tcp (внешний pop) 110 interface FastEthernet0/0 110
ни
ip nat outside source static tcp (внешний pop) 110 interface FastEthernet0/0 110
ни
ip nat outside source static tcp 192.168.xxx.xxx 110 (внешний pop) 110
изначально вы описывали свою задачу как "пропустить трафик из одного внешнего в другой внешний". Т.о. тот интерфейс, в который он входит f0/0 должен быть инсайдом, а f0/1 - аутсайдом, т.к. трафик из него выходит. Ваш лановский интерфейс не имеет отношения к данной задаче.
>изначально вы описывали свою задачу как "пропустить трафик из одного внешнего в
>другой внешний". Т.о. тот интерфейс, в который он входит f0/0 должен
>быть инсайдом, а f0/1 - аутсайдом, т.к. трафик из него выходит.
>Ваш лановский интерфейс не имеет отношения к данной задаче.вполне возможно что задачу поставил некоректно
>вполне возможно что задачу поставил некоректноприведенный вами конфиг ввергает меня в панику. в нем тупо нет таких слов как "interface FastEthernet0/1/0", например, ммм? ))
Абстрагируйтесь... что вы хотите получить? Что бы ваш хост из локальной(?) сети стучался по локальному адресу и попадал на внешний рор? Или что бы извне стучались?
>>вполне возможно что задачу поставил некоректно
>
>приведенный вами конфиг ввергает меня в панику. в нем тупо нет таких
>слов как "interface FastEthernet0/1/0", например, ммм? ))interface FastEthernet0/1/0
description to lan
switchport trunk native vlan 200
switchport mode trunk>
>Абстрагируйтесь... что вы хотите получить? Что бы ваш хост из локальной(?) сети
>стучался по локальному адресу и попадал на внешний рор? Или что
>бы извне стучались?interface FastEthernet0/1/0
description to lan
switchport trunk native vlan 200
switchport mode trunkчтобы пакет на порт 25 или 110, пришедший с другой циски из серой подсети на внешний интерфейс данной циски (fa 0/0 192.168.xxx.xxx),был переброшен на другой интерфейс данной циски (fa0/1 2xx.xxx.xxx.xxx) и ушел на внешний поп или смтп
>чтобы пакет на порт 25 или 110, пришедший с другой циски из
>серой подсети на внешний интерфейс данной циски (fa 0/0 192.168.xxx.xxx),был переброшен
>на другой интерфейс данной циски (fa0/1 2xx.xxx.xxx.xxx) и ушел на внешний
>поп или смтппростой маршрутизации не достаточно???
если ваша серая сеть знает про то, что за f0/1 есть публичная - то все еще проще.опять же
inf fa0/0
ip nat ins
int f0/1
ip nat outи ip nat ins source list [ACL кому можно] int fa0/1.
а вообще - курите cisco.com, так об этом много пишут...
>[оверквотинг удален]
>опять же
>inf fa0/0
>ip nat ins
>int f0/1
>ip nat out
>
>и ip nat ins source list [ACL кому можно] int fa0/1.
>
>
>а вообще - курите cisco.com, так об этом много пишут...сети inside/outside не перепутал??
>>а вообще - курите cisco.com, так об этом много пишут...
>
>сети inside/outside не перепутал??так вроде товарищ пишет:
>чтобы пакет на порт 25 или 110, пришедший с другой циски из
>серой подсети на внешний интерфейс данной циски (fa 0/0 192.168.xxx.xxx),был переброшен
>на другой интерфейс данной циски (fa0/1 2xx.xxx.xxx.xxx) и ушел на внешний
>поп или смтпммм?
>[оверквотинг удален]
>>сети inside/outside не перепутал??
>
>так вроде товарищ пишет:
>
>>чтобы пакет на порт 25 или 110, пришедший с другой циски из
>>серой подсети на внешний интерфейс данной циски (fa 0/0 192.168.xxx.xxx),был переброшен
>>на другой интерфейс данной циски (fa0/1 2xx.xxx.xxx.xxx) и ушел на внешний
>>поп или смтп
>
>ммм?и перед этим:
interface FastEthernet0/1/0
description to lan
switchport trunk native vlan 200
switchport mode trunk
запутывает он нас ;)
>и перед этим:
>interface FastEthernet0/1/0
>description to lan
>switchport trunk native vlan 200
>switchport mode trunk
>
>
>запутывает он нас ;))) мне кажется, что он inside/outside воспринимает по-честному: не с точки зрения ната, а с точки зрения своих/чужих сетей... 0.о хотя могу быть не права.
>чтобы пакет на порт 25 или 110, пришедший с другой циски из
>серой подсети на внешний интерфейс данной циски (fa 0/0 192.168.xxx.xxx),был переброшен
>на другой интерфейс данной циски (fa0/1 2xx.xxx.xxx.xxx) и ушел на внешний
>поп или смтпо! стандартный dest nat.
inf fa0/0
ip nat ins
int f0/1
ip nat outвсе лишние пометки "ip nat" с других интерфейсов уберите - от греха подальше.
ip nat outside source static [GLOBAL IP] [LOCAL IP], т.е.
ip nat outside source static tcp внешний pop 110 192.168.xxx.xxx 110Я люблю, что бы 192.168.xxx.xxx не совпадало с адресом интерфейса, а было левым виртуальным адресом из локальной сетки. Имхо, оно так краше.
>[оверквотинг удален]
>ip nat out
>
>все лишние пометки "ip nat" с других интерфейсов уберите - от греха
>подальше.
>
>ip nat outside source static [GLOBAL IP] [LOCAL IP], т.е.
>ip nat outside source static tcp внешний pop 110 192.168.xxx.xxx 110
>
>Я люблю, что бы 192.168.xxx.xxx не совпадало с адресом интерфейса, а было
>левым виртуальным адресом из локальной сетки. Имхо, оно так краше.и сразу и одной сети в другую сеть цепляться перестали
что значит "перестали цепляться"? из каких сетей? что сказали циске? что она вам ответила?мне кажется, что я разговариваю с пользователем, а не с одмином: паника, паника, ничего не работает... а что не работает - не понятно. )))
мы как бэ это... должны отличаться от гуманитариев и экономистов более системным подходом.
>что значит "перестали цепляться"? из каких сетей? что сказали циске? что она
>вам ответила?
>
>мне кажется, что я разговариваю с пользователем, а не с одмином: паника,
>паника, ничего не работает... а что не работает - не понятно.
>)))
>мы как бэ это... должны отличаться от гуманитариев и экономистов более системным
>подходом.ну не паника :)
убираю с серого внешнего (fa0/0 192.168.168.1) строку ip nat outside(ставлю inside) - пропадает терминалное соединение со складом
убираю inside с Vlan200 - весь офис курит без инета
>ну не паника :)
>убираю с серого внешнего (fa0/0 192.168.168.1) строку ip nat outside(ставлю inside) -
>пропадает терминалное соединение со складом
>убираю inside с Vlan200 - весь офис курит без инетаА это потому что у вас уже был нат, а я невнимательно курила ваш шлак-конфиг.
http://www.anticisco.ru/blogs/?p=23 - вот тут вот неплохая статья, как решить вашу проблему. всегда помните, что нат отрабатывает только при прохождении между двумя правильно помеченными интерфейсами.
>http://www.anticisco.ru/blogs/?p=23 - вот тут вот неплохая статья, как решить вашу проблему.
>всегда помните, что нат отрабатывает только при прохождении между двумя правильно
>помеченными интерфейсами.нипамагло
очень жаль.
>
> нипамаглоБлин!!!!
Ну сколько раз тебе говорить - ИЗОБРАЗИ СХЕМУ СЕТИ!!!
Нет, конечно если не хочешь чтобы тебе помогали, не нужно...
>
>>
>> нипамагло
>
>Блин!!!!
>
>Ну сколько раз тебе говорить - ИЗОБРАЗИ СХЕМУ СЕТИ!!!
>
>Нет, конечно если не хочешь чтобы тебе помогали, не нужно...http://www.sharemania.ru/0258336
вот схема