Уважаемые Господа
Есть cisco2811
При вводе вот такой строки
ip nat inside sourse static 10.0.0.201 172.14.244.4
Помимо того что происходит подмена адреса источника пакетов отправляемых из внетренней сети наружу так ещё и любой хост снаружи получает доступ к внутренней машине 10.0.0.201, как от этого избавиться, т.е. сохранить возможность натинга из внутренней сетки наружу, но убрать возможность соединения произвольной машины интернета с внутренней машиной.
Что делать??????????????З.Ы. Добавление ключа no-alias не спасает положения, простой правкой arp таблицы внешнего хоста это легко обходиться.
ip nat poo Fuck 172.14.244.4 172.14.244.4 pref 24
ip nat ins so li 1 poo Fuck over
access-l 10 perm ho 10.0.0.201
>ip nat poo Fuck 172.14.244.4 172.14.244.4 pref 24
>ip nat ins so li 1 poo Fuck over
>access-l 10 perm ho 10.0.0.201Увы но не помогло, если у машины 10.0.0.201 открыта сесия с любым хостом из внешней сети по любому протоколу то она становиться видна для всех внешних машин, а это не правильно по моему, единственный плюс это то что из таблицы натинга соответствие убивается почти сразу после завершения сеанса.
На мой взгляд такая защита внутренних хостов от внешних атак нафиг не нужна, или я не прав.
Ну поменяйте access-l 10 perm ho 10.0.0.201 на
access-l 10 perm 10.0.0.200 0.0.0.252
>Ну поменяйте access-l 10 perm ho 10.0.0.201 на
>access-l 10 perm 10.0.0.200 0.0.0.252Ну поменяю, а что это даст, какая разница хосту разрешено или хостам, не всё ли равно? Проблему то всё равно не уберёт.
>>Ну поменяйте access-l 10 perm ho 10.0.0.201 на
>>access-l 10 perm 10.0.0.200 0.0.0.252
>
>Ну поменяю, а что это даст, какая разница хосту разрешено или хостам,
>не всё ли равно? Проблему то всё равно не уберёт.
Ну пропишите на внешнем интерфейсе acl tcp established на этот адресс.
>>>Ну поменяйте access-l 10 perm ho 10.0.0.201 на
>>>access-l 10 perm 10.0.0.200 0.0.0.252
>>
>>Ну поменяю, а что это даст, какая разница хосту разрешено или хостам,
>>не всё ли равно? Проблему то всё равно не уберёт.
>
>
>Ну пропишите на внешнем интерфейсе acl tcp established на этот
>адресс.
Или в конечном итоге просто правило кому можно обращаться на этот адрес из вне.
Большое спасибо Изгой, всё заработало, жаль только что established работает только с tcp сессиями, но всё равно большое спасибо. Лучше чем совсем ничего.
>>>Ну поменяйте access-l 10 perm ho 10.0.0.201 на
>>>access-l 10 perm 10.0.0.200 0.0.0.252
>>
>>Ну поменяю, а что это даст, какая разница хосту разрешено или хостам,
>>не всё ли равно? Проблему то всё равно не уберёт.
>
>
>Ну пропишите на внешнем интерфейсе acl tcp established на этот
>адресс.А по подробнее о "Ну пропишите на внешнем интерфейсе acl tcp established на этот
адресс."
Так как заранее не известно с какими хостами захочет общаться внутрений
хост ACL не подойдёт.
>>>>Ну поменяйте access-l 10 perm ho 10.0.0.201 на
>>>>access-l 10 perm 10.0.0.200 0.0.0.252
>>>
>>>Ну поменяю, а что это даст, какая разница хосту разрешено или хостам,
>>>не всё ли равно? Проблему то всё равно не уберёт.
>>
>>
>>Ну пропишите на внешнем интерфейсе acl tcp established на этот
>>адресс.
>
>А по подробнее о "Ну пропишите на внешнем интерфейсе acl tcp
>established на этот
>адресс."
>
>
>Так как заранее не известно с какими хостами захочет общаться внутрений
>хост ACL не подойдёт.Ну если неизвестно с кем он должен общаться , то что вы от этого компа хотите то? делайте аутентификацию, у вас компьютер , на порту весит сервис , а клиенты с динамическими адресами как я понял должны обращаться на этот порт , и только они , сделайте впн в конце концов если вас надо супер защиту , но как говориться если есть вход кому то из вне то почему никто не может этим воспользоваться ? Обижаете хакеров )
Если достаточно только TCP сесий
подойдёт вот эта строка - Хост за натом инициатор связи естественно
ipхост-ipnatoutsaidхост-любойкомп по TCP
acl 101 permit Tcp any host ipnatoutsaidхост established
вроде не напутал ничего ,UDP убить , если нельзя убить то это уже надо ещё думать.Может динамический акл вешать , но тут надо почитать про ньюансы.