конфиг:version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname loacal
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
!
!
aaa session-id common
!
!
dot11 syslog
!
dot11 ssid wifi
vlan 1
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 7 key
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.0.0.254
ip dhcp ping packets 5
!
ip dhcp pool local
import all
network 10.0.0.0 255.255.255.0
default-router 10.0.0.254
dns-server 10.0.0.254
domain-name domain.ru
!
ip dhcp pool local.123
host 10.0.0.1 255.255.255.0
client-identifier 123
client-name local.123
lease infinite
!
ip dhcp pool local.234
host 10.0.0.2 255.255.255.0
client-identifier 234
client-name local.234
lease infinite
!
ip dhcp pool local.345
host 10.0.0.3 255.255.255.0
client-identifier 345
client-name local.345
lease infinite
!
ip dhcp pool local.456
host 10.0.0.4 255.255.255.0
client-identifier 456
client-name local.456
lease infinite
!
!
ip cef
ip domain name domain.ru
ip host 345.domain.ru 10.0.0.3
ip host 123.domain.ru 10.0.0.1
ip host 456.domain.ru 10.0.0.4
ip host cisco.domain.ru 10.0.0.254
!
!
!
username user privilege 15 password 7 pass
!
!
archive
log config
hidekeys
!
!
ip ssh authentication-retries 2
ip ssh version 1
!
bridge irb
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
no ip address
ip virtual-reassembly
no ip mroute-cache
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
no keepalive
no cdp enable
!
interface Dot11Radio0
no ip address
!
encryption vlan 1 mode ciphers tkip
!
ssid disia
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
channel 2437
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Vlan1
no ip address
bridge-group 1
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
no ip mroute-cache
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap callin
ppp chap hostname login
ppp chap password 7 pass
ppp ipcp dns request
!
interface BVI1
ip address 10.0.0.254 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
!
no ip http server
no ip http secure-server
ip dns server
ip nat inside source list 100 interface Dialer1 overload
ip nat inside source static tcp 10.0.0.3 30541 interface Dialer1 30541
!
access-list 100 deny tcp any eq domain any
access-list 100 permit ip 10.0.0.0 0.0.0.255 any
dialer-list 1 protocol ip permit
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
line con 0
no modem enable
line aux 0
line vty 0 4
exec-timeout 60 0
privilege level 15
logging synchronous
transport input ssh
!
scheduler max-task-time 5000
sntp server 62.117.76.142
endпорт 53ий на внешку все ранво открыт, когда добавляю на интерфейс Dialer1: ip access-group 100 in интернет вырубется за натом...как с таким конфигом закрыть днс на внешнем интерфесе и при это сохранить трансляцию 30541 во внутрь?
Мухи отдельно котлеты отдельно. Запросы на мир по 53 потру должны идти инече не будет резолва и отвалиться запросы по ДНС именам (а ты их рубишь) На твоей конфигурации 53 порт на ружу не выставлен (проверить просто - стукнись nslookup телнет на свой внешний ИП)
>Мухи отдельно котлеты отдельно. Запросы на мир по 53 потру должны идти
>инече не будет резолва и отвалиться запросы по ДНС именам (а
>ты их рубишь) На твоей конфигурации 53 порт на ружу не
>выставлен (проверить просто - стукнись nslookup телнет на свой внешний ИП)
>инет отваливается не оптому что нет днс резолва, пинги гаснут..в том числе по ип..проверял, если бы небыл извне доступен 53ий порт..я бы не спрашивал, в том то и дело, что доступен
>>Мухи отдельно котлеты отдельно. Запросы на мир по 53 потру должны идти
>>инече не будет резолва и отвалиться запросы по ДНС именам (а
>>ты их рубишь) На твоей конфигурации 53 порт на ружу не
>>выставлен (проверить просто - стукнись nslookup телнет на свой внешний ИП)
>>
>
>инет отваливается не оптому что нет днс резолва, пинги гаснут..в том числе
>по ип..проверял, если бы небыл извне доступен 53ий порт..я бы не
>спрашивал, в том то и дело, что доступенСделайте отдельно - один ACL для настроек Ната, второй для фильтрации. Так логичнее и проще в администрировании.
Ко всему прочему, если не изменяет память DNS работает по UDP, а у вас в правиле жестко TCP.
>[оверквотинг удален]
>>
>>инет отваливается не оптому что нет днс резолва, пинги гаснут..в том числе
>>по ип..проверял, если бы небыл извне доступен 53ий порт..я бы не
>>спрашивал, в том то и дело, что доступен
>
>Сделайте отдельно - один ACL для настроек Ната, второй для фильтрации. Так
>логичнее и проще в администрировании.
>
>Ко всему прочему, если не изменяет память DNS работает по UDP, а
>у вас в правиле жестко TCP.подскажите что конкретно должно быть в обоих acl в этом случае, чтобы работал нат, чтобы работал нас сорс статик и снаружи был закрыт 53ий порт, и куда привязать и как acl для фильтрации..я так понял привязать acl к нату, это непосредственно: ip nat inside source list 100 interface Dialer1 overload
up
2lumenous
Как ни странно, он и по tcp работает. ;) Ну там зоны всякие обновляются и прочая фигня...
Для ната достаточно
access-list 100 permit ip 10.0.0.0 0.0.0.255 any
А для внешнего интерфейса нужен ваш сотый ACL, только с последней записью permit any any
>инет отваливается не оптому что нет днс резолва, пинги гаснут..в том числе
>по ип..все логично, вы же разрешаете только трафик из 10.х.х.х сети на внешнем интерфейсе.
можно посмотреть в сторону ip inspect.
или, как и сказали, отдельным ACL.