URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21227
[ Назад ]

Исходное сообщение
"DMZ и NAT Интересная задачка."
Отправлено dxer , 28-Июн-10 11:36

Коллеги!
Есть интересная задачка.
Имеется ISR с 12.4Т IOSом.
Задача реализовать DMZ.
Делаем по классической схеме через subint-ы. Проблем нет.
Хотелось бы, допустим с адреса 10.0.2.2 DMZ почтового сервера протранслировать в inside сеть 25/tcp.
interface FastEthernet0/0
  description Trunk to Catalyst 4507 (core)
  no ip address
  duplex auto
  speed auto
!
interface FastEthernet0/0.39
  description Connected to DMZ
  encapsulation dot1Q 39
  ip address 10.0.2.1 255.255.255.248
  no ip redirects
  no ip unreachables
  no ip proxy-arp
  ip nat inside
  ip virtual-reassembly
!
interface FastEthernet0/0.40
  description Connected to WAN (TTK)
  encapsulation dot1Q 40
  ip address 80.92.102.218 255.255.255.252
  ip access-group 120 in
  no ip redirects
  no ip unreachables
  no ip proxy-arp
  ip nat outside
  ip virtual-reassembly
  ip policy route-map MAP
  crypto map SRRT
  service-policy output QoS-YRR
!
interface FastEthernet0/1
  description Connected to Local Area Network
  ip address 172.28.76.6 255.255.255.252
    no ip redirects
  no ip unreachables
  no ip proxy-arp
  ip nat inside
  ip access-group 130 in
  ip virtual-reassembly
  ip route-cache policy
  ip route-cache flow
  ip tcp adjust-mss 1280
  duplex auto
  speed auto
ip nat inside source route-map NoNAT interface FastEthernet0/0.40 overload
ip nat inside source static tcp 10.0.2.2 25 80.92.102.218 25 extendable
ip nat inside source static tcp 10.0.2.2 25 172.28.76.6 25 extendable
access-list 110 remark NAT0
access-list 110 deny ip 172.29.64.0 0.0.31.255 172.29.0.0 0.0.31.255
access-list 110 deny ip 10.0.2.0 0.0.0.7 172.29.0.0 0.0.31.255
access-list 110 permit ip 172.29.64.0 0.0.31.255 any
access-list 110 permit ip 10.0.2.0 0.0.0.7 any
route-map NoNAT permit 10
  match ip address 110
  match interface FastEthernet0/0.40
Согласно данной настройки я вижу 25/tcp только используя адрес 10.0.2.2.
Хотелось бы, чтобы пользователь из inside ничего не знал про данную сеть, а использовал адрес 172.28.76.6.
Access-list 130 понятное дело правильный, и не запрещает host-у из inside видеть отображенный 25 порт.
Есть ли варианты решения?

Содержание

DMZ и NAT Интересная задачка.,j_vw, 21:09 , 28-Июн-10
- Ну да вам уже подсказали ;) ,j_vw, 21:51 , 28-Июн-10

Сообщения в этом обсуждении

"DMZ и NAT Интересная задачка."
Отправлено j_vw , 28-Июн-10 21:09

>
>Есть ли варианты решения?
ИМНО, задачка не решаема "в лоб" исходя из общих принципов роутинга.....
По мне, есть полтора решения данной "проблемы":
1. Если кошка является DNS сервером, то, ручками прописать в конфиге mx.vasya.ru на адрес DMZ.
Т.е. у клиентов снаружи адрес mx.vasya.ru будет решаться во внешний интерфейс, а у "внутренних" пользователей в адрес DMZ.
1,5. Уж, коль вы делаете DMZ, стройте или Zone Based Firewall, или Inspect(вроде, должно прохилять...не помню...)
Может и чушь сказал :)

"Ну да вам уже подсказали ;) "
Отправлено j_vw , 28-Июн-10 21:51

SUBJ ;)