URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 5614
[ Назад ]

Исходное сообщение
"Хитромудрый NAT"
Отправлено brozzer , 25-Июн-04 07:22

есть схема:
Internet==={Serial0-router1721-FastEth0}===LAN
!
interface FastEthernet0
description connected to EthernetLAN
ip address 202.158.0.1 255.255.255.0
speed auto
no cdp enable
!
interface Serial0
description to Internet
ip unnumbered FastEthernet0
no keepalive
no cdp enable
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0

Для клиентов в LANе езер циски является шлюзом, и соответственно все ходят в инет, адреса у машин реальные, есть WWW/MAIL.
Также в ЛАНе есть машины с фейковыми адресами. Вопрос, как их выпустить в инет? Т.е на циске поднять НАТ, так что бы он НАТил только невалидные фейковые адреса, а реальные не трогал? меня смущает то что сериал unnumbered, но это требование прова и поменять нет возможности.

Содержание

Хитромудрый NAT,Beginner, 18:19 , 27-Июн-04
- Хитромудрый NAT,brozzer, 08:37 , 28-Июн-04
  - Хитромудрый NAT,brozzer, 13:59 , 09-Июл-04
    - Хитромудрый NAT,ВОЛКА, 14:07 , 09-Июл-04
      - Хитромудрый NAT,brozzer, 14:18 , 09-Июл-04
        
        Хитромудрый NAT,Simps, 14:22 , 09-Июл-04
        
        Хитромудрый NAT,brozzer, 14:37 , 09-Июл-04
        
        Хитромудрый NAT,Simps, 16:08 , 09-Июл-04
        
        Хитромудрый NAT,ВОЛКА, 15:45 , 09-Июл-04
  - Хитромудрый NAT,Vlad, 09:40 , 13-Июл-04
    - Хитромудрый NAT,brozzer, 11:39 , 13-Июл-04
      - Хитромудрый NAT,Sonne, 11:51 , 13-Июл-04
        
        Хитромудрый NAT,brozzer, 10:32 , 14-Июл-04

Сообщения в этом обсуждении

"Хитромудрый NAT"
Отправлено Beginner , 27-Июн-04 18:19

>есть схема:
>Internet==={Serial0-router1721-FastEth0}===LAN
>
>!
>interface FastEthernet0
> description connected to EthernetLAN
> ip address 202.158.0.1 255.255.255.0
> speed auto
> no cdp enable
>!
>interface Serial0
> description to Internet
> ip unnumbered FastEthernet0
> no keepalive
> no cdp enable
>!
>ip classless
>ip route 0.0.0.0 0.0.0.0 Serial0
>
>
>Для клиентов в LANе езер циски является шлюзом, и соответственно все ходят
>в инет, адреса у машин реальные, есть WWW/MAIL.
>
>Также в ЛАНе есть машины с фейковыми адресами. Вопрос, как их выпустить
>в инет? Т.е на циске поднять НАТ, так что бы он
>НАТил только невалидные фейковые адреса, а реальные не трогал? меня смущает
>то что сериал unnumbered, но это требование прова и поменять нет
>возможности.
По моему нет проблемы не натить все с интерфейса, а занатить диапазон адресов в 1 адрес.

"Хитромудрый NAT"
Отправлено brozzer , 28-Июн-04 08:37

!
ip nat inside source list 10 interface Serial 0 overload
access-list 10 permit ip 192.168.0.0 0.0.255.255 any
access-list 10 deny ip any any

"Хитромудрый NAT"
Отправлено brozzer , 09-Июл-04 13:59

есть вопрос
interface Ethernet0
ip address 195.58.6.1 255.255.255.0 secondary
ip address 192.168.200.2 255.255.255.0 secondary
ip address 202.52.52.1 255.255.255.0
ip nat outside
в какой из айнишников заНАТиться пакет?

"Хитромудрый NAT"
Отправлено ВОЛКА , 09-Июл-04 14:07

вопрос неправильный...
повторите вопрос :)

"Хитромудрый NAT"
Отправлено brozzer , 09-Июл-04 14:18

>вопрос неправильный...
>повторите вопрос :)
)))000
циска с двумя езерами
interface Ethernet0
ip address 195.58.6.1 255.255.255.0 secondary
ip address 192.168.200.2 255.255.255.0 secondary
ip address 202.52.52.1 255.255.255.0
ip nat outside
interface FastEthernet0
ip address 192.168.0.1 255.255.255.0
ip nat inside
с каким сорсом выдет пакет наружу? т.е. попав на инсайд он занатится и вылезет через аутсайд.

"Хитромудрый NAT"
Отправлено Simps , 09-Июл-04 14:22

>>вопрос неправильный...
>>повторите вопрос :)
>
>)))000
>
>циска с двумя езерами
>
>interface Ethernet0
> ip address 195.58.6.1 255.255.255.0 secondary
> ip address 192.168.200.2 255.255.255.0 secondary
> ip address 202.52.52.1 255.255.255.0
> ip nat outside
>
>interface FastEthernet0
> ip address 192.168.0.1 255.255.255.0
> ip nat inside
>
>с каким сорсом выдет пакет наружу? т.е. попав на инсайд он занатится
>и вылезет через аутсайд.
>
>
Типа так
interface FastEthernet0/0.2
description LAN
encapsulation dot1Q 2
ip address 192.168.10.1 255.255.255.0
ip nat inside
!
interface FastEthernet0/0.3
description INET
encapsulation dot1Q 3
ip address 192.168.18.155 255.255.255.0 secondary
ip address 192.168.0.155 255.255.255.0
ip nat outside
!
ip default-gateway 192.168.18.1
ip nat pool ETHER0 192.168.0.155 192.168.0.155 prefix-length 24
ip nat pool ETHER1 192.168.18.155 192.168.18.155 prefix-length 24
ip nat inside source list 7 pool ETHER0
ip nat inside source list 8 pool ETHER1
ip route 0.0.0.0 0.0.0.0 192.168.18.1
!
!
access-list 7 permit 192.168.10.0 0.0.0.127
access-list 8 permit 192.168.10.128 0.0.0.127
Конфиг рабочий, но его уже тут критиковали. В нем по крайней мере есть ответ на твой вопрос

"Хитромудрый NAT"
Отправлено brozzer , 09-Июл-04 14:37

спасибо!!!
...а почему критиковали? выглядит вполне

"Хитромудрый NAT"
Отправлено Simps , 09-Июл-04 16:08

>спасибо!!!
>...а почему критиковали? выглядит вполне
Нет там просто человек не разобравшись, закритиковал наличие и inside и outside на одном физ. интерфейсе. А все вытекало из схемы подключения

"Хитромудрый NAT"
Отправлено ВОЛКА , 09-Июл-04 15:45

вопрос опять неправильный...
если в конфиге стоит
ip nat inside source list 1 int eth0 overload
то под 202.52.52.1

"Хитромудрый NAT"
Отправлено Vlad , 13-Июл-04 09:40

>!
>ip nat inside source list 10 interface Serial 0 overload
>access-list 10 permit ip 192.168.0.0 0.0.255.255 any
>access-list 10 deny ip any any
во всех акссеслистах в конце и так все денаится по умолчанию
так что вторая строка в аксесе необязательна совсем

"Хитромудрый NAT"
Отправлено brozzer , 13-Июл-04 11:39

ВАРИАНТ1
interface FastEthernet0
description connected to LAN
ip address 192.168.0.1 255.255.255.0 secondary
ip address 202.52.52.1 255.255.255.0
ip nat inside
speed auto
no cdp enable
!
interface Serial0
ip unnumbered FastEthernet0
ip nat outside
no keepalive
no cdp enable
!
ip nat inside source list 10 interface Serial0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
no ip http server
!
!
access-list 10 permit 192.168.0.0 0.0.0.255
!
end

ВАРИАНТ2
interface FastEthernet0
description connected to LAN
ip address 192.168.0.1 255.255.255.0 secondary
ip address 202.52.52.1 255.255.255.0
ip nat inside
speed auto
no cdp enable
!
interface Serial0
ip unnumbered FastEthernet0
ip nat outside
no keepalive
no cdp enable
!
ip nat pool inet 202.52.52.1 202.52.52.1 prefix-length 24
ip nat inside source list 10 pool inet overload
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
no ip http server
!
!
access-list 10 permit 192.168.0.0 0.0.0.255
!
end
оба не работают...
Подскажите куда копать?

"Хитромудрый NAT"
Отправлено Sonne , 13-Июл-04 11:51

Если вместо
ip nat inside source list 10 interface Serial0 overload
yаписать
ip nat inside source list 10 interface Fa0 overload
?
Нелогично в качестве адреса для ната использовать unnumbered интрефейс :)

"Хитромудрый NAT"
Отправлено brozzer , 14-Июл-04 10:32

>Если вместо
>ip nat inside source list 10 interface Serial0 overload
>yаписать
>ip nat inside source list 10 interface Fa0 overload
>?
>
>Нелогично в качестве адреса для ната использовать unnumbered интрефейс :)

ip nat inside source list 10 interface FastEthernet0 overload
теперь все работает
Спасибо!