При конфигурировании встроеного файервола в цыске 2503(нат включён)не удаётся получить доступ в сетку извне - кричит, что при включённом нате доступа не будет.
Конфиг в студию!
>Конфиг в студию!
Вот собственно сам конфик:
!
service timestamps debug uptime
service timestamps log uptime
service password-encryption
no service tcp-small-servers
no service udp-small-servers
!
hostname CISCO_2503
!
enable password ******************
username No_Name password *****************
!
ip name-server 205.138.41.119
!
isdn switch-type basic-net3
!
ip subnet-zero
ip domain-lookup
ip routing
!
interface Dialer 1
description connected to Internet
ip unnumbered Ethernet 0
ip nat outside
no ip split-horizon
encapsulation ppp
dialer in-band
dialer idle-timeout 60
dialer string 88087000025 class 56K
dialer hold-queue 10
dialer load-threshold 10
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname No_Name
ppp chap password ******************
ppp pap sent-username No_Name password **************
ppp multilink
no cdp enable
!
interface Ethernet 0
no shutdown
description connected to EthernetLAN
ip address 192.168.52.1 255.255.255.0
ip nat inside
no keepalive
!
interface Serial 0
no description
no ip address
shutdown
!
interface Serial 1
no description
no ip address
shutdown
!
interface BRI 0
no shutdown
description connected to Internet
no ip address
dialer rotary-group 1
!
map-class dialer 56K
dialer isdn speed 56
!
! Access Control List 1
!
no access-list 1
access-list 1 permit 192.168.52.0 0.0.0.255
access-list 1 permit 192.168.0.0 0.0.0.255
!
! Dialer Control List 1
!
no dialer-list 1
dialer-list 1 protocol ip permit
!
! Static NAT
!
!
ip nat translation timeout 86400
ip nat translation tcp-timeout 86400
ip nat translation udp-timeout 300
ip nat translation dns-timeout 60
ip nat translation finrst-timeout 60
ip nat inside source list 1 interface Dialer 1 overload
!
router rip
version 2
network 192.168.52.0
passive-interface Dialer 1
no auto-summary
!
!
ip classless
!
! IP Static Routes
ip route 192.168.51.0 255.255.255.0 192.168.52.3
ip route 192.168.0.0 255.255.255.0 192.168.52.3
ip route 192.168.30.0 255.255.255.252 Ethernet 0 permanent
ip route 0.0.0.0 0.0.0.0 Dialer 1
no ip http server
snmp-server community public RO
snmp-server location MAIN_HEADEND
snmp-server contact root,support@koma.com
!
line console 0
exec-timeout 0 0
password ****************
login
transport input none
!
line vty 0 4
password ****************
login
!
! The following commands are not recognized by Cisco ConfigMaker
! and are therefore appended here.
!
no service single-slot-reload-enable
logging rate-limit console 10 except errors
no ip finger
no ip dhcp-client network-discovery
!
interface BRI 0
cdapi buffers regular 0
cdapi buffers raw 0
cdapi buffers large 0
!
interface Dialer 1
rate-limit output access-group 100 32000 8000 8000 conform-action set-prec-continue 4 exceed-action drop
rate-limit output access-group 101 32000 8000 8000 conform-action set-prec-continue 2 exceed-action drop
ip kerberos source-interface any
!
end
Пояснения:
Цыска стоит на запросном канале
Отдача через сат_роутер на линухе в сетке 0.0
192.168.51.0 255.255.255.0 - Офис 1
192.168.52.3 255.255.255.0 - Роутер_Фришный
192.168.0.0 255.255.255.0 - Офис 2
192.168.30.0 255.255.255.252 Ethernet 0 permanent - VPN подключения
У Вас NAT не работает или "встроенный файервол"?
Судя по конфигу NAT настроен правильно.
Какие комманды Вы добавляете - после которых у Вас cisco ругается?
Ну по идее снаружи к тебе во внутреннюю сеть никто и не должен попасть. Если ты хочешь открыть какие-либо IP адреса, чтобы они снаружи были видны - нужно статический нат для определенных портов прописать...
>У Вас NAT не работает или "встроенный файервол"?
>Судя по конфигу NAT настроен правильно.
>Какие комманды Вы добавляете - после которых у Вас cisco ругается?
Он мне не даёт включить файерволл (потому как НАТ включён - его причина)
>Он мне не даёт включить файерволл (потому как НАТ включён - его
>причина)
Какую команду Вы вводите, и что cisco на это пишет?
>>Он мне не даёт включить файерволл (потому как НАТ включён - его
>>причина)
>Какую команду Вы вводите, и что cisco на это пишет?
Просто активирую файерволл в конфигмэйкере
Так это не cisco ругается, а конфигмайкер!
Что в итоге Вы хотите получить?
>Так это не cisco ругается, а конфигмайкер!
>Что в итоге Вы хотите получить?
Для меня (чайника в цысках) одно что сам роутер, что конфигмэйкер - я хочу включить файервол и дать доступ по некоторым портам и протоколам извне (кроме того, что есть фришный файервол0
64 bytes from 192.168.***.1: icmp_seq=14 ttl=255 time=3.060 ms
64 bytes from 192.168.***.1: icmp_seq=15 ttl=255 time=2.968 ms
64 bytes from 192.168.***.1: icmp_seq=16 ttl=255 time=3.051 ms
64 bytes from 192.168.***.1: icmp_seq=17 ttl=255 time=3.031 ms
64 bytes from 192.168.***.1: icmp_seq=18 ttl=255 time=3.007 ms
64 bytes from 192.168.***.1: icmp_seq=19 ttl=255 time=3.059 ms
64 bytes from 192.168.***.1: icmp_seq=20 ttl=255 time=3.014 ms
64 bytes from 192.168.***.1: icmp_seq=21 ttl=255 time=3.097 ms
64 bytes from 192.168.***.1: icmp_seq=22 ttl=255 time=2.960 ms
64 bytes from 192.168.***.1: icmp_seq=23 ttl=255 time=2.902 msИ ещё один вопрос: Нормально ли иметь такую задержку при пинговании цыски с роутера? (находяться в одной стойке - включены между собой через 3COM 3300)
Менее четырех миллисекунд - это абсолютно нормально.
А если не секрет - сколько Вы расчитывали получить?
>Менее четырех миллисекунд - это абсолютно нормально.
>А если не секрет - сколько Вы расчитывали получить?
Исходя из задержек в сети - ну не более 1 мс
>Для меня (чайника в цысках) одно что сам роутер, что конфигмэйкер -
>я хочу включить файервол и дать доступ по некоторым портам и
>протоколам извне (кроме того, что есть фришный файервол0
Для того, чтобы разрешить доступ по некоторым портам достаточно прописать эти правила в ACL'ях и установить их на нужные Вам интерфейсы.