URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21839
[ Назад ]

Исходное сообщение
"Не телнетится 21 порт за натом в 7206"
Отправлено _RAW_ , 29-Окт-10 15:45

Добрый день.
Что то я голову сломал всю, не понимаю в чем подвох.
Сменил недавно NPE-400 на NPE-G2
Конфигурацию перенес по возможности полностью. Конфигурация трехлучевая - провайдер, DMZ с маршрутизируемыми адресами и локалка за NAT overload.
Заметил давеча что из локалки не могу протелнетить 21 порт внешних ресурсов. Из DMZ телнетится, ftp сервера в DMZ тоже телнетятся из локалки на ура. Если я на внешних ресурсах в инете меняю порт ftp на какой нибудь верхний - тоже все из локалки телнетится на ура по новому порту.
Подумалось что аксесслисты - нет, не они. поставил заглушки permit ip any any на все направления всех интерфейсов циски - не помогло. Телнет на любые другие порты работает, кроме заколдованного 21 порта.
Причем когда пытаюсь телнетиться sh ip nat tra показывает запись о моем присутствии и попытке законнектиться на 21 порт удаленного ресурса все как положено...
В чем соль то? Где я слепой и не вижу очевидного?

Содержание

Не телнетится 21 порт за натом в 7206,Barbos, 19:53 , 29-Окт-10
- Не телнетится 21 порт за натом в 7206,_RAW_, 11:00 , 01-Ноя-10
  - Не телнетится 21 порт за натом в 7206,_RAW_, 16:30 , 07-Дек-10

Сообщения в этом обсуждении

"Не телнетится 21 порт за натом в 7206"
Отправлено Barbos , 29-Окт-10 19:53

Сегодня день особый.... Телепатия не работает.... Конфиги в студию !!!

"Не телнетится 21 порт за натом в 7206"
Отправлено _RAW_ , 01-Ноя-10 11:00

> Сегодня день особый.... Телепатия не работает.... Конфиги в студию !!!
Не думаю что вам они сильно помогут. Там все стандартно до мозга костей. но вот кусок конфига в части касающейся (аксесслисты специально занулены, дабы исключить их влияние какое либо, айпишники тоже заменены, но там все корректно). В данном случае 3.100 это мой хост за натом (мой гейт 3.1) 0.4 это хост TMG2010 за которым сидит офис (он у них гейтом 3.4). Ни я ни офис 21 порт не видим, остальные видим. ВСЕ ОСТАЛЬНЫЕ видим:
interface GigabitEthernet0/1
description DMZ
ip address 78.109.73.1 255.255.255.240
ip access-group dmzin in
ip access-group dmzout out
ip accounting output-packets
ip virtual-reassembly
no ip mroute-cache
duplex auto
speed auto
media-type rj45
negotiation auto
interface GigabitEthernet0/2
description LAN
ip address 192.168.0.1 255.255.255.0 secondary
ip address 192.168.3.1 255.255.255.0
ip access-group lvsin in
ip access-group lvsout out
ip accounting output-packets
ip nat inside
ip virtual-reassembly
ip policy route-map comcor-map
no ip mroute-cache
duplex auto
speed auto
media-type rj45
negotiation auto
interface FastEthernet1/0
description COMCOR
ip address 63.118.88.5 255.255.255.252
ip access-group comcorin in
ip access-group comcorout out
no ip redirects
no ip unreachables
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 63.118.88.6
ip nat pool comcor-space 63.118.88.5 63.118.88.5 netmask 255.255.255.252
ip nat inside source route-map comcor-map pool comcor-space overload
ip access-list extended comcorin
permit ip any any
ip access-list extended comcorout
permit ip any any
ip access-list extended dmzin
permit ip any any
ip access-list extended dmzout
permit ip any any
ip access-list extended lvsin
permit ip any any
ip access-list extended lvsout
permit ip any any
ip access-list extended permitinternet
permit ip host 192.168.3.100 any
permit ip host 192.168.0.4 any
route-map comcor-map permit 10
match ip address permitinternet
match interface FastEthernet1/0
set default interface FastEthernet1/0

"Не телнетится 21 порт за натом в 7206"
Отправлено _RAW_ , 07-Дек-10 16:30

Вопрос по ходу можно закрывать.
проконсультировался в свое время со знакомым CCIE, он навел на мысль что во всем виновата тестовая прошивка. БОльше просто глюку взяться неоткуда. Так что перепрошивка на релизный иос решила данную проблему.