URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22797
[ Назад ]

Исходное сообщение
"cisco 881 NAT/tcp redirect"
Отправлено oggi , 24-Июн-11 16:31

Сразу оговорюсь, что по теме гуглил не один день. Вероятно, что не правильно выбирал ключевые слова. Вообщем нахожусь в некотором ступоре, так что пните в нужную сторону.
Есть очень тривиальная задача (схема на рисунке http://picturepush.com/public/5954903) получить на с881 (NAT-GW) аналог rinetd/xinetd(redirect), проброс tcp c внешнего интерфейса NAT-GW (1.2.3.4) на SERVER (192.168.200.123). CLIENT идет на SERVER. При этом SERVER должен видеть SRC из LAN (адрес внутреннего интерфейса маршрутизатора или любой другой IP из внутренней сети. На схеме 172.22.22.100), не должен видеть реальный адрес CLIENT (на схеме 15.15.15.15). Отмечу, что адрес клиента заранее не известен, может быть любым.
Спасибо.

Содержание

cisco 881 NAT/tcp redirect,elk_killa, 11:26 , 28-Июн-11
- cisco 881 NAT/tcp redirect,oggi, 13:23 , 28-Июн-11
  - cisco 881 NAT/tcp redirect,elk_killa, 10:15 , 30-Июн-11
cisco 881 NAT/tcp redirect,oggi, 12:46 , 30-Июн-11
- cisco 881 NAT/tcp redirect,oggi, 19:24 , 01-Июл-11

Сообщения в этом обсуждении

"cisco 881 NAT/tcp redirect"
Отправлено elk_killa , 28-Июн-11 11:26

порт клиента ообязательно должен быть фиксированным?

"cisco 881 NAT/tcp redirect"
Отправлено oggi , 28-Июн-11 13:23

> порт клиента ообязательно должен быть фиксированным?
порт c которого идет CLIENT может быть произвольным (не принципиально с какого он идет порта). Но все клиенты должны идти на один и тот же порт NAT-GW (на рисунке 12345), и в итоге попасть на SERVER:12345.

"cisco 881 NAT/tcp redirect"
Отправлено elk_killa , 30-Июн-11 10:15

> Но все клиенты должны идти на один и
> тот же порт NAT-GW (на рисунке 12345), и в итоге попасть
> на SERVER:12345.
interface Fa4
ip nat outside
interface Vlan1
ip nat inside
ip nat inside source static tcp 192.168.200.123 12345 interface FastEthernet4 12345
(это если 1.2.3.4 забит напрямую на интерфейсе, если подключение в инет через pppoe etc., то вместо Fa4 подставить нужное, с виланом то же самое, подставить тот, в котором работает сервер)

"cisco 881 NAT/tcp redirect"
Отправлено oggi , 30-Июн-11 12:46

>[оверквотинг удален]
> правильно выбирал ключевые слова. Вообщем нахожусь в некотором ступоре, так что
> пните в нужную сторону.
> Есть очень тривиальная задача (схема на рисунке http://picturepush.com/public/5954903)
> получить на с881 (NAT-GW) аналог rinetd/xinetd(redirect), проброс tcp c внешнего интерфейса
> NAT-GW (1.2.3.4) на SERVER (192.168.200.123). CLIENT идет на SERVER. При этом
> SERVER должен видеть SRC из LAN (адрес внутреннего интерфейса маршрутизатора или
> любой другой IP из внутренней сети. На схеме 172.22.22.100), не должен
> видеть реальный адрес CLIENT (на схеме 15.15.15.15). Отмечу, что адрес клиента
> заранее не известен, может быть любым.
> Спасибо.
Решил задачку. Оказалось все достаточно просто. Позже отпишу решение.

"cisco 881 NAT/tcp redirect"
Отправлено oggi , 01-Июл-11 19:24

>[оверквотинг удален]
>> пните в нужную сторону.
>> Есть очень тривиальная задача (схема на рисунке http://picturepush.com/public/5954903)
>> получить на с881 (NAT-GW) аналог rinetd/xinetd(redirect), проброс tcp c внешнего интерфейса
>> NAT-GW (1.2.3.4) на SERVER (192.168.200.123). CLIENT идет на SERVER. При этом
>> SERVER должен видеть SRC из LAN (адрес внутреннего интерфейса маршрутизатора или
>> любой другой IP из внутренней сети. На схеме 172.22.22.100), не должен
>> видеть реальный адрес CLIENT (на схеме 15.15.15.15). Отмечу, что адрес клиента
>> заранее не известен, может быть любым.
>> Спасибо.
> Решил задачку. Оказалось все достаточно просто. Позже отпишу решение.
В данном примере на 10.10.10.2 стоит дефолт в сторону 10.10.10.1 (для примера на рисунке достаточно иметь маршрут на NAT-POOL внутри облака LAN в сторону NAT-GW)
interface FastEthernet4
ip address 1.2.3.4 255.255.255.0
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no keepalive
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 10.10.10.1 255.255.255.248
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452

ip nat pool NAT-POOL 20.20.20.1 20.20.20.254 netmask 255.255.255.0
ip nat inside source static tcp 10.10.10.2 22 interface FastEthernet4 12345
ip nat outside source list 101 pool NAT-POOL add-route

nat-gw#sh ip access-lists 101
Extended IP access list 101
    10 permit tcp any host 1.2.3.4 eq 12345 (3 matches)

************************************ ПРОВЕРКА ***********************************
Идем с хостов 1.2.3.2 или 1.2.3.100 на 1.2.3.4:12345, попадаем на 10.10.10.2 и на нем смотрим
sh tcp br (под рукой нету, постараюсь выложить позже) должны увидеть подключения с 20.20.20.0/24
*********************************************************************************
nat-gw#sh ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
--- ---                ---                20.20.20.1         1.2.3.2
--- ---                ---                20.20.20.2         1.2.3.100
tcp 1.2.3.4:12345      10.10.10.2:22      20.20.20.2:34362   1.2.3.100:34362
tcp 1.2.3.4:12345      10.10.10.2:22      ---                ---
Маршруты автоматом добавляет "add-route"
nat-gw#sh ip route 20.20.20.0 longer-prefixes
...
Gateway of last resort is not set
      20.0.0.0/32 is subnetted, 2 subnets
S        20.20.20.1 [1/0] via 1.2.3.2
S        20.20.20.2 [1/0] via 1.2.3.100