https://www.opennet.ru/openforum/vsluhforumID6/18956.html Подскажите пожалуйста, Уважаемые!<br>Может кто сталкивался с такой проблеммой?! На cisco 2811 сделн nat, с использованием route-map (планируется отказоустойчивость с помощью SLA). Все работает, для тех кому разрешен доступ, но за внешним интерефейсом видны пакеты источником которых является внутренняя сеть!!!! Конечно можно прикрыть с помощью ACL, но интересна причина.<br>!<br>interface GigabitEthernet0/0.12<br> description ISP_1<br> encapsulation dot1Q 12<br> ip address xxx.xxx.xxx.218 255.255.255.252<br> ip nat outside<br> ip virtual-reassembly<br>!<br><br>!<br>interface GigabitEthernet0/1.21<br> description LAN_192_168_35<br> encapsulation dot1Q 21<br> ip address 192.168.35.1 255.255.255.0<br> ip nat inside<br> ip virtual-reassembly<br>!<br>ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.217<br><br>!<br><br>ip nat inside source route-map Test-NAT interface GigabitEthernet0/0.12 overload<br>!<br>ip access-list extended NAT_FOR_ALL_PERMIT<br> &lt;определенные правила&gt; <br> deny ip any any<br><br>!<br>route-map Test-NAT permit 10<br> match ip address NAT_FOR_ALL_PERMIT<br> match interf https://www.opennet.ru/openforum/vsluhforumID6/18956.html#8 Fri, 29 May 2009 10:57:57 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;Конечно имеют. А почему нет? <br>&gt;&gt;<br>&gt;&gt;Тогда получается, что пакет пришедший с внутреннего интерфейса (ip nat inside) и <br>&gt;&gt;<br>&gt;&gt;точка назначения котророго лежит за пределами внешнего интерфейса (ip nat outside), но <br>&gt;&gt;не подпадающий под действие правил трансляции (в ACL последняя строчка deny <br>&gt;&gt;ip any any)попросту маршрутизируется??? Я правильно Вас понял? <br>&gt;<br>&gt;Интересно что за пакеты улетают за outside после deny ip any any <br>&gt;- пакеты канального уровня? <br><br>Просто фильтры на исходящие пакеты не стоят, а нат ставится обычно на дефолтовый рутер<br>вот и летят пакеты из локальных адресов к провайдеру<br> https://www.opennet.ru/openforum/vsluhforumID6/18956.html#7 Thu, 28 May 2009 10:57:33 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Именно, но разве они имеют право на жизнь за перделами ip nat <br>&gt;&gt;&gt;outside интерфейса? <br>&gt;&gt;&gt;Конечно имеют. А почему нет? <br>&gt;<br>&gt;Тогда получается, что пакет пришедший с внутреннего интерфейса (ip nat inside) и <br>&gt;<br>&gt;точка назначения котророго лежит за пределами внешнего интерфейса (ip nat outside), но <br>&gt;не подпадающий под действие правил трансляции (в ACL последняя строчка deny <br>&gt;ip any any)попросту маршрутизируется??? Я правильно Вас понял? <br><br>Интересно что за пакеты улетают за outside после deny ip any any - пакеты канального уровня?<br> https://www.opennet.ru/openforum/vsluhforumID6/18956.html#6 Thu, 28 May 2009 10:45:56 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;outside интерфейса? <br>&gt;&gt;&gt;&gt;Конечно имеют. А почему нет? <br>&gt;&gt;<br>&gt;&gt;Тогда получается, что пакет пришедший с внутреннего интерфейса (ip nat inside) и <br>&gt;&gt;<br>&gt;&gt;точка назначения котророго лежит за пределами внешнего интерфейса (ip nat outside), но <br>&gt;&gt;не подпадающий под действие правил трансляции (в ACL последняя строчка deny <br>&gt;&gt;ip any any)попросту маршрутизируется??? Я правильно Вас понял? <br>&gt;<br>&gt;Угу... <br><br>Большое спасибо за разъяснение!<br> https://www.opennet.ru/openforum/vsluhforumID6/18956.html#5 Thu, 28 May 2009 10:35:07 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Именно, но разве они имеют право на жизнь за перделами ip nat <br>&gt;&gt;&gt;outside интерфейса? <br>&gt;&gt;&gt;Конечно имеют. А почему нет? <br>&gt;<br>&gt;Тогда получается, что пакет пришедший с внутреннего интерфейса (ip nat inside) и <br>&gt;<br>&gt;точка назначения котророго лежит за пределами внешнего интерфейса (ip nat outside), но <br>&gt;не подпадающий под действие правил трансляции (в ACL последняя строчка deny <br>&gt;ip any any)попросту маршрутизируется??? Я правильно Вас понял? <br><br>Угу...<br> https://www.opennet.ru/openforum/vsluhforumID6/18956.html#4 Thu, 28 May 2009 08:45:24 GMT &gt;&gt;&gt;Ну видимо это пакеты, которые не попадають под NAT? <br>&gt;&gt;<br>&gt;&gt;Именно, но разве они имеют право на жизнь за перделами ip nat <br>&gt;&gt;outside интерфейса? <br>&gt;&gt;Конечно имеют. А почему нет? <br><br>Тогда получается, что пакет пришедший с внутреннего интерфейса (ip nat inside) и <br>точка назначения котророго лежит за пределами внешнего интерфейса (ip nat outside), но не подпадающий под действие правил трансляции (в ACL последняя строчка deny ip any any)попросту маршрутизируется??? Я правильно Вас понял?<br> https://www.opennet.ru/openforum/vsluhforumID6/18956.html#3 Thu, 28 May 2009 07:57:28 GMT &gt;&gt;Ну видимо это пакеты, которые не попадають под NAT? <br>&gt;<br>&gt;Именно, но разве они имеют право на жизнь за перделами ip nat <br>&gt;outside интерфейса? <br><br>Конечно имеют. А почему нет?<br> https://www.opennet.ru/openforum/vsluhforumID6/18956.html#2 Thu, 28 May 2009 07:04:16 GMT &gt;Ну видимо это пакеты, которые не попадають под NAT? <br><br>Именно, но разве они имеют право на жизнь за перделами ip nat outside интерфейса? <br><br> https://www.opennet.ru/openforum/vsluhforumID6/18956.html#1 Thu, 28 May 2009 05:18:18 GMT Ну видимо это пакеты, которые не попадають под NAT?<br>