Имеется Cisco 805, настроен NAT, фильтрации нет. Задача: Нужно прокинуть внутрь порт 3389 на определенную внутреннюю машину для удаленного управления. Добился, что внутрь пакеты идут, а наружу не выходят. В чем проблема, или данное невозможно в принципе.

• Cisco 805 и проброс порта во внутреннюю сеть,sh_, 21:23 , 27-Окт-05
  • Cisco 805 и проброс порта во внутреннюю сеть,dpride, 10:56 , 28-Окт-05
    • Cisco 805 и проброс порта во внутреннюю сеть,sh_, 11:04 , 28-Окт-05
      • Cisco 805 и проброс порта во внутреннюю сеть,dpride, 11:27 , 28-Окт-05
        • Cisco 805 и проброс порта во внутреннюю сеть,sh_, 11:35 , 28-Окт-05
          • Cisco 805 и проброс порта во внутреннюю сеть,sh_, 11:35 , 28-Окт-05
            • Cisco 805 и проброс порта во внутреннюю сеть,dpride, 12:02 , 28-Окт-05

ip nat ins so st tcp 172.16.8.3 3389 X.X.X.X 3389 ex

>ip nat ins so st tcp 172.16.8.3 3389 X.X.X.X 3389 ex
Да делал я так, для примера внутри сети брал машину, на которой стоит MTA и прокидывал соответственно на 25-й порт. На машине вижу, что идет конект на нее, а от нее пакеты не идут, в том и вся проблема и с 3389, делал, ставлю на cisco debug ip nat, вижу, что внутрь кидает, наружу не выходит, может какая-то дополнительная маршрутизация нужна, могу показать sh ru и другие логи по необходимости.

Current configuration : 1110 bytes
!
version 12.2
no service pad
no service timestamps debug uptime
no service timestamps log uptime
service password-encryption
service udp-small-servers
service tcp-small-servers
!
hostname router
!
boot system flash c805-y6-mw.122-8.T5.bin
enable secret 5 secret
enable password 7 password
!
ip subnet-zero
!
ip name-server nameserver
!
!
!
interface Ethernet0
ip address 10.0.1.170 255.255.255.0
ip nat inside
no ip mroute-cache
!
interface Serial0
description uplink
ip address a.b.c.193 255.255.255.192
ip nat outside
no ip mroute-cache
autodetect encapsulation lapb-ta
no fair-queue
!
ip nat log translations syslog
ip nat inside source list 111 interface Serial0 overload
ip nat inside source static tcp 10.0.1.1 25 a.b.c.193 25 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
no ip http server
no ip pim bidir-enable
!
!
access-list 111 permit ip 10.0.1.0 0.0.0.255 any
!
line con 0
stopbits 1
line vty 0 4
password 7 password
login
!
end

соответственно, a.b.c.193 адрес внешнего интерфейса cisco, выданный провайдером.

А можно посмотреть sh ip nat tr и deb ip pac во время коннекта?

>А можно посмотреть sh ip nat tr и deb ip pac во
>время коннекта?

Расписываю специально подробно все действия:

Делаю от себя: telnet a.b.c.193 25
Вот что показывает debug ip nat:

NAT:Created tcp 10.0.1.1:25 a.b.c.193:25 d.e.f.154:1181 d.e.f.154:1181
NAT: o: tcp (d.e.f.154, 1181) -> (a.b.c.193, 25) [30451]
NAT: s=d.e.f.154, d=a.b.c.193->10.0.1.1 [30451]
NAT: o: tcp (d.e.f.154, 1181) -> (a.b.c.193, 25) [30501]
NAT: s=d.e.f.154, d=a.b.c.193->10.0.1.1 [30501]
NAT: o: tcp (d.e.f.154, 1181) -> (a.b.c.193, 25) [30565]
NAT: s=d.e.f.154, d=a.b.c.193->10.0.1.1 [30565]
NAT: expiring a.b.c.193 (10.0.1.1) tcp 25 (25)
NAT:Deleted tcp 10.0.1.1:25 a.b.c.193:25 d.e.f.154:1181 d.e.f.154:1181

Теперь sh ip na tr
Pro Inside global      Inside local       Outside local      Outside global
tcp a.b.c.193:25   10.0.1.1:25        ---                ---
tcp a.b.c.193:25   10.0.1.1:25        d.e.f.154:1196 d.e.f.154:1196

Соответственно a.b.c.193 адрес cisco, d.e.f.154 внешний ip, с которого я конекчусь.

Вот debug ip pac, боюсь не покажу, он выдает длинный и постоянный листинг и я не знаю как это остановить, приходиться просить ребутать cisco.

>Вот debug ip pac, боюсь не покажу, он выдает длинный и постоянный листинг и я не знаю как это остановить, приходиться просить ребутать cisco.

:) Ты огранич вывод dep ip pa acces-list'ом. :)

А на MTA никаких файрволов не стоит?

>А на MTA никаких файрволов не стоит?

На внутреннем интерфейсе все открыто. По поводу access-list, а как его правильно написать, а то я сделал для 10.0.1.1, но видимо не так, поэтому постоянно вываливаеться IP: NAT enab = 1 trans = 0 flags = 0 :-)