forum.opennet.ru - "Снова детский вопрос" (12)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Снова детский вопрос"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Снова детский вопрос"
Сообщение от BuxpbSN (ok) on 07-Сен-06, 11:14
Согласно Cisco.FAQ пробрасываю внутрь сети трафик с 3640: interface FastEthernet3/0.40 encapsulation dot1Q 40 ip address 192.168.1.50 255.255.255.0 ip nat inside interface FastEthernet3/0.80 encapsulation dot1Q 80 ip address 195.222.147.134 255.255.255.252 ip nat outside ip nat inside source static 192.168.1.30 195.222.147.134 extendable no-alias Подменяются порты: innor_cus#sh ip na tr Pro Inside global Inside local Outside local Outside global tcp 195.222.147.134:80 192.168.1.30:80 83.219.4.198:1300 83.219.4.198:1300 tcp 195.222.147.134:81 192.168.1.30:81 83.219.4.198:1299 83.219.4.198:1299 --- 195.222.147.134 192.168.1.30 --- --- Почему же такое происходит? Помогите, пожалуйста, разобраться...
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

Снова детский вопрос, Feen, 12:50 , 07-Сен-06, (1)

Снова детский вопрос, BuxpbSN, 13:05 , 07-Сен-06, (2)

Снова детский вопрос, Feen, 13:10 , 07-Сен-06, (3)

Снова детский вопрос, BuxpbSN, 13:20 , 07-Сен-06, (4)

Снова детский вопрос, sh_, 13:24 , 07-Сен-06, (5)
Снова детский вопрос, Feen, 13:27 , 07-Сен-06, (6)

Снова детский вопрос, BuxpbSN, 13:38 , 07-Сен-06, (7)

Снова детский вопрос, Feen, 13:51 , 07-Сен-06, (8)
Снова детский вопрос, Feen, 13:55 , 07-Сен-06, (9)

Снова детский вопрос, BuxpbSN, 13:59 , 07-Сен-06, (10)

Снова детский вопрос, BuxpbSN, 08:24 , 08-Сен-06, (11)

Снова детский вопрос, BuxpbSN, 08:25 , 11-Сен-06, (12)

Сообщения по теме [Сортировка по времени, UBB]

1. "Снова детский вопрос"

Сообщение от Feen (ok) on 07-Сен-06, 12:50

Ну а как еще?
Ты по 80-му порту стучишься, сосед по сетке по 80-му порту, все в сетке по 80-му стучатся.
А точка входа одна. Нужно же на ней как-то определять кому внутри что слать.
На пальцах: ты устанавливаешь соединение по 80му порту, наружу это выходит по 1300. Значит то, что придет снаружи по 1300, должно перенаправляться тебе.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Снова детский вопрос"

Сообщение от BuxpbSN (??) on 07-Сен-06, 13:05

Хм... а как я на удалённом хосте перенаправлю из 1300 в 80 порт?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Снова детский вопрос"

Сообщение от Feen (ok) on 07-Сен-06, 13:10

>Хм... а как я на удалённом хосте перенаправлю из 1300 в 80
>порт?
А зачем?
Более полно опиши ситуацию, плиз. Что есть, что хочешь сделать и почему возник такой вопрос.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Снова детский вопрос"

Сообщение от BuxpbSN (??) on 07-Сен-06, 13:20

>>Хм... а как я на удалённом хосте перенаправлю из 1300 в 80
>>порт?
>
>А зачем?
>
>Более полно опиши ситуацию, плиз. Что есть, что хочешь сделать и почему
>возник такой вопрос.
Да всё элементарно. В локалке есть вебсервер 192.168.1.30 (порты не только 80). Соответственно нужно прозрачно пробрасывать трафик с циски на сервер и с сервера во внешний мир. Внешний интерфейс - 195.222.147.134.
Для пользователя из "внешнего мира" доступ осуществляется по http://195.222.147.134. А попадать он должен на 192.168.1.30.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Снова детский вопрос"

Сообщение от sh_ (??) on 07-Сен-06, 13:24

Покажите sh run | i http

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "Снова детский вопрос"

Сообщение от Feen (ok) on 07-Сен-06, 13:27

>>>Хм... а как я на удалённом хосте перенаправлю из 1300 в 80
>>>порт?
>>
>>А зачем?
>>
>>Более полно опиши ситуацию, плиз. Что есть, что хочешь сделать и почему
>>возник такой вопрос.
>
>Да всё элементарно. В локалке есть вебсервер 192.168.1.30 (порты не только 80).
>Соответственно нужно прозрачно пробрасывать трафик с циски на сервер и с
>сервера во внешний мир. Внешний интерфейс - 195.222.147.134.
>
>Для пользователя из "внешнего мира" доступ осуществляется по http://195.222.147.134. А попадать он
>должен на 192.168.1.30.
Я что-то подобное и предположил.
Не сделать это под NAT'ом, курите матчасть.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "Снова детский вопрос"

Сообщение от BuxpbSN (??) on 07-Сен-06, 13:38

>Не сделать это под NAT'ом, курите матчасть.
Курю-курю...
Получается, policy routing?
Что-то вроде:
route-map RM permit 10
match ip address 5
set ip next-hop 192.168.1.30
access-list 5 permit 195.222.147.134
interface FastEthernet3/0.80
ip address 195.222.147.134 255.255.255.252
ip policy route-map RM
Или я опять неправ?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "Снова детский вопрос"

Сообщение от Feen (ok) on 07-Сен-06, 13:51

Мне кажется, проще всего сделать так.
Снаружи набирается адрес в виде  http://195.222.147.134:(произвольный номер порта, к примеру 1234)
А внутри настраивается, чтоб пакет пришедший снаружи по порту 1234, маршрутизировался на сервер.
По-моему, больше никак не сделать.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "Снова детский вопрос"

Сообщение от Feen (ok) on 07-Сен-06, 13:55

• Static translations with ports:
When translating addresses to an interface's address, outside-initiated connections to services on the inside network (like mail) will require additional configuration to send the connection to the correct inside host. This command allows the user to map certain services to certain inside hosts.
ip nat inside source static { tcp | udp } <localaddr> <localport> <globaladdr> <globalport>
Example:
ip nat inside source static tcp 192.168.10.1 25 171.69.232.209 25
In this example, outside-initiated connections to the SMTP port (25) will be sent to the inside host 192.168.10.1.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

10. "Снова детский вопрос"

Сообщение от BuxpbSN (??) on 07-Сен-06, 13:59

Так и было в первом посте:
ip nat inside source static 192.168.1.30 195.222.147.134 extendable no-alias

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

11. "Снова детский вопрос"

Сообщение от BuxpbSN (??) on 08-Сен-06, 08:24

Ну вот совсем элементарный конфиг:
interface FastEthernet3/0.40
encapsulation dot1Q 40
ip address 192.168.1.50 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
no snmp trap link-status
!
interface FastEthernet3/0.100
encapsulation dot1Q 100
ip address 84.254.209.133 255.255.255.248
no ip redirects
no ip unreachables
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
no snmp trap link-status
!
ip route 0.0.0.0 0.0.0.0 84.254.209.129
ip nat inside source static tcp 192.168.1.30 81 84.254.209.133 81 extendable no-alias
debug nat:
Sep  8 04:15:10.513: NAT*: o: tcp (84.254.209.100, 2526) -> (84.254.209.133, 81) [27406]
Sep  8 04:15:10.513: NAT*: o: tcp (84.254.209.100, 2526) -> (84.254.209.133, 81) [27406]
Sep  8 04:15:10.517: NAT*: s=84.254.209.100, d=84.254.209.133->192.168.1.30 [27406]
Sep  8 04:15:13.417: NAT*: o: tcp (84.254.209.100, 2526) -> (84.254.209.133, 81) [27467]
Sep  8 04:15:13.417: NAT*: s=84.254.209.100, d=84.254.209.133->192.168.1.30 [27467]
sh ip nat tr:
Pro Inside global      Inside local       Outside local      Outside global
tcp 84.254.209.133:81  192.168.1.30:81    84.254.209.100:2526 84.254.209.100:2526
tcp 84.254.209.133:81  192.168.1.30:81    ---                ---

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

12. "Снова детский вопрос"

Сообщение от BuxpbSN (??) on 11-Сен-06, 08:25

Проблема решена.
При создании записи ip nat inside static необходимо выдавать хосту из локальной сети НЕ IP-адрес внешнего интерфейса рутера (т.е. полный портмап не получится сделать), а свободный адрес из той же WAN.
Пример: рутер имеет интерфейс LAN 192.168.1.50/24 и интерфейс WAN 212.120.160.130/24.
Необходимо открыть доступ к ресурсу LAN 192.168.1.45.
Решение: присвоим данному хосту адрес внешней сети: 212.120.160.131/24:
interface eth0
ip address 212.120.160.130 255.255.255.0
ip nat outside
!
interface eth1
ip address 192.168.1.50 255.255.255.0
ip nat inside
!
ip nat inside source static 192.168.1.45 212.120.160.131
Этого достаточно, чтобы подменить адрес 192.168.1.45 на 212.120.160.131. Конфигурировалась 3640 IOS (C3640-IK9O3S-M), Version 12.4(7).
Спасибо всем, кто помогал мне с этой детской задачкой!

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Снова детский вопрос"
Сообщение от Feen (ok) on 07-Сен-06, 12:50
Ну а как еще? Ты по 80-му порту стучишься, сосед по сетке по 80-му порту, все в сетке по 80-му стучатся. А точка входа одна. Нужно же на ней как-то определять кому внутри что слать. На пальцах: ты устанавливаешь соединение по 80му порту, наружу это выходит по 1300. Значит то, что придет снаружи по 1300, должно перенаправляться тебе.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "Снова детский вопрос"
	Сообщение от BuxpbSN (??) on 07-Сен-06, 13:05
	Хм... а как я на удалённом хосте перенаправлю из 1300 в 80 порт?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "Снова детский вопрос"
	Сообщение от Feen (ok) on 07-Сен-06, 13:10
	>Хм... а как я на удалённом хосте перенаправлю из 1300 в 80 >порт? А зачем? Более полно опиши ситуацию, плиз. Что есть, что хочешь сделать и почему возник такой вопрос.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "Снова детский вопрос"
	Сообщение от BuxpbSN (??) on 07-Сен-06, 13:20
	>>Хм... а как я на удалённом хосте перенаправлю из 1300 в 80 >>порт? > >А зачем? > >Более полно опиши ситуацию, плиз. Что есть, что хочешь сделать и почему >возник такой вопрос. Да всё элементарно. В локалке есть вебсервер 192.168.1.30 (порты не только 80). Соответственно нужно прозрачно пробрасывать трафик с циски на сервер и с сервера во внешний мир. Внешний интерфейс - 195.222.147.134. Для пользователя из "внешнего мира" доступ осуществляется по http://195.222.147.134. А попадать он должен на 192.168.1.30.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	5. "Снова детский вопрос"
	Сообщение от sh_ (??) on 07-Сен-06, 13:24
	Покажите sh run \| i http
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	6. "Снова детский вопрос"
	Сообщение от Feen (ok) on 07-Сен-06, 13:27
	>>>Хм... а как я на удалённом хосте перенаправлю из 1300 в 80 >>>порт? >> >>А зачем? >> >>Более полно опиши ситуацию, плиз. Что есть, что хочешь сделать и почему >>возник такой вопрос. > >Да всё элементарно. В локалке есть вебсервер 192.168.1.30 (порты не только 80). >Соответственно нужно прозрачно пробрасывать трафик с циски на сервер и с >сервера во внешний мир. Внешний интерфейс - 195.222.147.134. > >Для пользователя из "внешнего мира" доступ осуществляется по http://195.222.147.134. А попадать он >должен на 192.168.1.30. Я что-то подобное и предположил. Не сделать это под NAT'ом, курите матчасть.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	7. "Снова детский вопрос"
	Сообщение от BuxpbSN (??) on 07-Сен-06, 13:38
	>Не сделать это под NAT'ом, курите матчасть. Курю-курю... Получается, policy routing? Что-то вроде: route-map RM permit 10 match ip address 5 set ip next-hop 192.168.1.30 access-list 5 permit 195.222.147.134 interface FastEthernet3/0.80 ip address 195.222.147.134 255.255.255.252 ip policy route-map RM Или я опять неправ?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	8. "Снова детский вопрос"
	Сообщение от Feen (ok) on 07-Сен-06, 13:51
	Мне кажется, проще всего сделать так. Снаружи набирается адрес в виде http://195.222.147.134:(произвольный номер порта, к примеру 1234) А внутри настраивается, чтоб пакет пришедший снаружи по порту 1234, маршрутизировался на сервер. По-моему, больше никак не сделать.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	9. "Снова детский вопрос"
	Сообщение от Feen (ok) on 07-Сен-06, 13:55
	• Static translations with ports: When translating addresses to an interface's address, outside-initiated connections to services on the inside network (like mail) will require additional configuration to send the connection to the correct inside host. This command allows the user to map certain services to certain inside hosts. ip nat inside source static { tcp \| udp } <localaddr> <localport> <globaladdr> <globalport> Example: ip nat inside source static tcp 192.168.10.1 25 171.69.232.209 25 In this example, outside-initiated connections to the SMTP port (25) will be sent to the inside host 192.168.10.1.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	10. "Снова детский вопрос"
	Сообщение от BuxpbSN (??) on 07-Сен-06, 13:59
	Так и было в первом посте: ip nat inside source static 192.168.1.30 195.222.147.134 extendable no-alias
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	11. "Снова детский вопрос"
	Сообщение от BuxpbSN (??) on 08-Сен-06, 08:24
	Ну вот совсем элементарный конфиг: interface FastEthernet3/0.40 encapsulation dot1Q 40 ip address 192.168.1.50 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip flow egress ip nat inside ip virtual-reassembly no snmp trap link-status ! interface FastEthernet3/0.100 encapsulation dot1Q 100 ip address 84.254.209.133 255.255.255.248 no ip redirects no ip unreachables ip flow ingress ip flow egress ip nat outside ip virtual-reassembly no snmp trap link-status ! ip route 0.0.0.0 0.0.0.0 84.254.209.129 ip nat inside source static tcp 192.168.1.30 81 84.254.209.133 81 extendable no-alias debug nat: Sep 8 04:15:10.513: NAT: o: tcp (84.254.209.100, 2526) -> (84.254.209.133, 81) [27406] Sep 8 04:15:10.513: NAT: o: tcp (84.254.209.100, 2526) -> (84.254.209.133, 81) [27406] Sep 8 04:15:10.517: NAT: s=84.254.209.100, d=84.254.209.133->192.168.1.30 [27406] Sep 8 04:15:13.417: NAT: o: tcp (84.254.209.100, 2526) -> (84.254.209.133, 81) [27467] Sep 8 04:15:13.417: NAT*: s=84.254.209.100, d=84.254.209.133->192.168.1.30 [27467] sh ip nat tr: Pro Inside global Inside local Outside local Outside global tcp 84.254.209.133:81 192.168.1.30:81 84.254.209.100:2526 84.254.209.100:2526 tcp 84.254.209.133:81 192.168.1.30:81 --- ---
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	12. "Снова детский вопрос"
	Сообщение от BuxpbSN (??) on 11-Сен-06, 08:25
	Проблема решена. При создании записи ip nat inside static необходимо выдавать хосту из локальной сети НЕ IP-адрес внешнего интерфейса рутера (т.е. полный портмап не получится сделать), а свободный адрес из той же WAN. Пример: рутер имеет интерфейс LAN 192.168.1.50/24 и интерфейс WAN 212.120.160.130/24. Необходимо открыть доступ к ресурсу LAN 192.168.1.45. Решение: присвоим данному хосту адрес внешней сети: 212.120.160.131/24: interface eth0 ip address 212.120.160.130 255.255.255.0 ip nat outside ! interface eth1 ip address 192.168.1.50 255.255.255.0 ip nat inside ! ip nat inside source static 192.168.1.45 212.120.160.131 Этого достаточно, чтобы подменить адрес 192.168.1.45 на 212.120.160.131. Конфигурировалась 3640 IOS (C3640-IK9O3S-M), Version 12.4(7). Спасибо всем, кто помогал мне с этой детской задачкой!
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]