URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 3993
[ Назад ]

Исходное сообщение
"Помогите разобраться с настройками циски, DNS, NAT, Accessli..."

Отправлено Baron , 07-Окт-03 11:55 
Предисловие:
Есть сервер (Win2K) в виртуальной подсети (192.168.255.0/32) (192.168.255.1 - его ip)
На нем поднят DNS, mail, FTP, WWW, NTP
роутер cisco1605r на нем поднят NAT
есть диапазон реальных ip. с двух из них производится статическая трансляция (212.24.36.249 -> 192.168.255.1 & 212.24.36.250 -> 192.168.255.2)
Насторены Acees-listы для фильтрации трафика(см конфигурацию)
Суть проблемы:
Хочется сделать домен третьего уровня. Для чего я хочу передать управление зоной на свой DNS. Но запросы из вне не доходят до моего сервера (пробовал делать nslookup - dns request timed out). Видимо я в чем-то ошибся. Подскажите.
При всем при том FTP MAIL доступны снаружи.
Еще прошу проверить access-lists на предмет глюков и возможностей улучшений.

Собственно конфигурация:
!
version 12.1
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Cisco1605
!
enable secret 5 $1$xfql$QzjDsvzGNCgg.x4ORdjCR.
enable password 7 091D1C5A4D5041
!
!
clock timezone Moscow 3
clock summer-time Moscow recurring last Sun Mar 3:00 last Sun Oct 3:00
ip subnet-zero
ip ftp username Cisco1605
ip ftp password 7 04410E140032
ip domain-name office.aerogroup.ru
ip name-server 192.168.255.1
ip name-server 192.168.255.2
ip name-server 212.24.36.1
ip name-server 212.24.35.1
!
!
!
!
interface Ethernet0
description connected to EthernetLAN
ip address 192.168.255.254 255.255.255.0
ip access-group 101 in
ip access-group 102 out
ip accounting output-packets
ip nat inside
!
interface Ethernet1
description connected to EthernetLAN_1
ip address 212.24.36.253 255.255.255.252
ip access-group 103 in
ip access-group 104 out
ip accounting output-packets
ip nat inside
!
interface Serial0
description connected to Internet
ip address 212.24.36.246 255.255.255.252
ip nat outside
encapsulation ppp
!
router rip
version 2
passive-interface Serial0
network 192.168.255.0
network 212.24.36.0
no auto-summary
!
ip nat translation timeout 3600
ip nat inside source list 1 interface Serial0 overload
ip nat inside source static 192.168.255.2 212.24.36.250
ip nat inside source static 192.168.255.1 212.24.36.249
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
no ip http server
!
access-list 1 permit 192.168.255.0 0.0.0.255
access-list 1 permit 212.24.36.248 0.0.0.7
access-list 101 permit ip 192.168.255.0 0.0.0.255 any
access-list 102 permit icmp any 192.168.255.0 0.0.0.3
access-list 102 permit tcp host 192.168.255.254 any eq ftp-data
access-list 102 permit tcp any 192.168.255.0 0.0.0.3 eq www
access-list 102 permit tcp any 192.168.255.0 0.0.0.3 eq smtp
access-list 102 permit tcp any 192.168.255.0 0.0.0.3 eq pop3
access-list 102 permit tcp any 192.168.255.0 0.0.0.3 eq 143
access-list 102 permit tcp any 192.168.255.0 0.0.0.3 eq ftp
access-list 102 permit tcp any 192.168.255.0 0.0.0.3 eq ftp-data
access-list 102 permit tcp host 194.85.83.95 192.168.255.0 0.0.0.3 eq 3389
access-list 102 deny   tcp any 192.168.255.0 0.0.0.3 eq 3389
access-list 102 permit udp any 192.168.255.0 0.0.0.3 eq domain
access-list 102 permit tcp any 192.168.255.0 0.0.0.3 eq domain
access-list 102 permit udp any eq domain 192.168.255.0 0.0.0.3 range 1024 65535
access-list 102 permit tcp any eq domain 192.168.255.0 0.0.0.3 range 1024 65535
access-list 102 permit udp any eq ntp 192.168.255.0 0.0.0.3 range 1024 65535
access-list 102 permit tcp any eq www 192.168.255.0 0.0.0.3 range 1024 65535
access-list 102 permit tcp any eq 443 192.168.255.0 0.0.0.3 range 1024 65535
access-list 102 permit tcp any eq 8010 192.168.255.0 0.0.0.3 range 1024 65535
access-list 102 permit tcp any eq smtp 192.168.255.0 0.0.0.3 range 1024 65535
access-list 102 permit tcp any eq 143 192.168.255.0 0.0.0.3 range 1024 65535
access-list 102 permit tcp any eq pop3 192.168.255.0 0.0.0.3 range 1024 65535
access-list 102 permit tcp any eq ftp 192.168.255.0 0.0.0.3 range 1024 65535
access-list 102 permit tcp any eq ftp-data 192.168.255.0 0.0.0.3 range 1024 65535
access-list 102 deny   ip any 192.168.255.0 0.0.0.3
access-list 102 permit ip any 192.168.255.0 0.0.0.255
access-list 103 permit ip 212.24.36.248 0.0.0.7 any
access-list 104 permit ip any 212.24.36.248 0.0.0.7
snmp-server engineID local 00000009020000D058A913C2
snmp-server community public RO
!
line con 0
exec-timeout 0 0
password 7 025756085F5359
login
transport input none
line vty 0 4
password 7 091D1C5A4D5041
login
!
end


Содержание

Сообщения в этом обсуждении
"Помогите разобраться с настройками циски, DNS, NAT, Accessli..."
Отправлено Baron , 07-Окт-03 12:00 
Всмысле NTP на роутере поднят, но это не имеет отношения к делу.

"Помогите разобраться с настройками циски, DNS, NAT, Accessli..."
Отправлено Roger , 07-Окт-03 13:18 
Проверь ходит ли вообще конект на сервер .... просто зайди по телнету на 53 порт своего ДНС ... ну и поставь аксесс лист на permit any any eq domain и сделай по нему дебаг ... думаю проблема сразу станет более ясной


"Помогите разобраться с настройками циски, DNS, NAT, Accessli..."
Отправлено Baron , 07-Окт-03 14:52 
>Проверь ходит ли вообще конект на сервер .... просто зайди по телнету
>на 53 порт своего ДНС ... ну и поставь аксесс лист
>на permit any any eq domain и сделай по нему дебаг
>... думаю проблема сразу станет более ясной

а как его посмотреть, этот дебаг?
я его включилЖ debug ip udp, или я не тот дебаг включил?
а где посмотреть - не пойму. Пытаюсь его на tftp свалить - ошибка


"Помогите разобраться с настройками циски, DNS, NAT, Accessli..."
Отправлено Roger , 07-Окт-03 14:59 
>>Проверь ходит ли вообще конект на сервер .... просто зайди по телнету
>>на 53 порт своего ДНС ... ну и поставь аксесс лист
>>на permit any any eq domain и сделай по нему дебаг
>>... думаю проблема сразу станет более ясной
>
>а как его посмотреть, этот дебаг?
>я его включилЖ debug ip udp, или я не тот дебаг включил?
>
>а где посмотреть - не пойму. Пытаюсь его на tftp свалить -
>ошибка


Ну ... можна прямо по какому-то критерию включить аксесс лист ...
А чтобы дебаг на монитор вывадило ... пиши terminal monitor (в режиме енейбла)


"Помогите разобраться с настройками циски, DNS, NAT, Accessli..."
Отправлено Baron , 07-Окт-03 16:33 
>Ну ... можна прямо по какому-то критерию включить аксесс лист ...
>А чтобы дебаг на монитор вывадило ... пиши terminal monitor (в режиме
>енейбла)
сделал дебаг на udp пакеты, приходящие на роутер.
почему-то я не вижу пакты, которые приходят в ответ на запросы DNS (сейчас стоит внутренний DNS, он форвадит запросы на другие сервера)
а так из лога ничего не понятно


"Помогите разобраться с настройками циски, DNS, NAT, Accessli..."
Отправлено Roger , 07-Окт-03 16:39 
Пакеті проходят через нат? (В логах должно быть видно куда вылетел пакет и что с ним произошло! ну и так же смотри на ответные пакеты)
Иесли ничего не поймешь то хоть запости лог с парочки пакетов ...

Кста ... еще есть команды
debug ip nat detail
debug ip nat <acl number>

мож они помогут?


"Помогите разобраться с настройками циски, DNS, NAT, Accessli..."
Отправлено Baron , 07-Окт-03 17:50 
>Кста ... еще есть команды
>debug ip nat detail
>debug ip nat <acl number>
>
>мож они помогут?

debug ip nat вешает роутер, хотя мен кое что удалось определить. Пакеты уходят, но ответа нет. Мне кажется какой-то глюк с маршрутизацией(хотя я не секу)
на моем роутере подсети
eth0: 192.168.255.0/24
eth1: 212.24.36.253/30

а тот ip на ктороый я повесли трансляцию на сервер - 212.24.36.249
он конечно тоже из наших. Но что раутер делает с такими пакетам?
может на eth1 прописать подсеть 212.24.36.249/29 ?

А вообще, когда заходят на наш фтп с внешних ip - все ок
когда я пытаюсь с нашей подсети зайти на 212,24,36,249 - тайаут