вобщем есть такая схема
| S1 | -----+ in ____ out
+-------| R1 |---/ LAN /
| S2 |------+ ---+--
| out
/ WAN /
почти классический дмз. с1 с2 - серверы, р1 - с3725.
ip nat inside source static tcp 192.168.dmz.s1 25 192.168.7.210 25
ip nat inside source static udp 192.168.dmz.s2 53 192.168.7.210 53
ip nat inside source static tcp 192.168.dmz.s1 110 192.168.7.210 110
т.е. с1 мейл, с2 днс. в айдле все нормально
#sh ip nat tr
Pro Inside global Inside local Outside local Outside global
udp 192.168.7.210:53 192.168.dmz.s2:53 --- ---
tcp 192.168.7.210:25 192.168.dmz.s1:25 --- ---
tcp 192.168.7.210:110 192.168.dmz.s1:110 --- ---
с лана делаю
telnet 192.168.dmz.s1 25
получаю
#sh ip nat tr
Pro Inside global Inside local Outside local Outside global
udp 192.168.7.210:53 192.168.dmz.s2:53 --- ---
tcp 192.168.7.210:25 192.168.dmz.s1:25 192.168.7.229:32775 192.168.7.229:32775
tcp 192.168.7.210:25 192.168.dmz.s1:25 --- ---
tcp 192.168.7.210:110 192.168.dmz.s1:110 --- ---
но, на писюке тцпдамп дает такое
[root@host root]# tcpdump -n port 25
eth0: Promiscuous mode enabled.
tcpdump: listening on eth0
18:38:10.565457 192.168.7.229.32776 > 192.168.7.210.smtp: S
18:38:10.567743 192.168.dmz.s1.smtp > 192.168.7.229.32776: S
18:38:10.567793 192.168.7.229.32776 > 192.168.dmz.s1.smtp: R
18:38:12.817769 192.168.dmz.s1.smtp > 192.168.7.229.32775: S
18:38:12.817816 192.168.7.229.32775 > 192.168.dmz.s1.smtp: R
18:38:13.557628 192.168.7.229.32776 > 192.168.7.210.smtp: S
...
т.е. обратно пакет приходит не размаскировавшись. соотв-но ресетится писюком.
других путей от с1 к писюку нет, т.е. назад он полюбому проходет через р1 (на с1 один интерфейс воткнутый пачкордом в ESW модуль р1)
вот сижу репу чухаю...
Если добавляю
ip nat outside source static tcp 192.168.dmz.s1 25 192.168.7.210 25
то начинает рабоать, но при этом невозможно обратиться напрямую на адрес 192.168.dmz.s1
(ответы всеравно идут с 192.168.7.210 и соотв-но тоже ресетятся)
где я дурак?
Вариант для распечатки
Маршрутизаторы CISCO и др. оборудование. (Public)
(ok) on 05-Апр-06, 14:54 
