форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"NAT"

Сообщение от БРЕДОР (ok) on 09-Май-08, 23:26

Всем доброго времени суток! Хотелось бы разобраться в одном вопросе. Топология сети: Локальная сеть: 172.16.16.0/24 В локальной сети существует некий сервер с адресом: 172.16.16.2 Есть cisco рутер: e0/0: 172.16.16.2, e0/1:85.21.122.3,85.21.122.4 secondary 1)Вся локальная сеть динамически натится на 85.21.122.3. 2)На 85.21.122.4 должен натится только  172.16.16.2. С первым пунктом все ясно, второй пункт я решил таким образом: ip nat inside source static 172.16.16.2 85.21.122.4 Но у меня возникла заминка, я с удаленного компьютера легко зашел по RDP на этот сервер, по 85.21.122.4:3389 чему был удивлен. До этого момента я думал что inside это когда я разрешаю транслировать внутренний ip во внешний, и никак ни с внешнего ip на внутренний. Я нихочу опубликовывать порты внутреннего сервера внаружу. Поясните пожалуйста как это можно сделать, почему получилась такая ситуация и чем же отличается тогда inside от outside.

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "NAT"

Сообщение от shavkat (ok) on 09-Май-08, 23:59

>[оверквотинг удален] >ip nat inside source static 172.16.16.2 85.21.122.4 >Но у меня возникла заминка, я с удаленного компьютера легко зашел по >RDP на этот сервер, по 85.21.122.4:3389 чему был удивлен. >До этого момента я думал что inside это когда я разрешаю транслировать >внутренний ip во внешний, и никак ни с внешнего ip на >внутренний. Я нихочу опубликовывать порты внутреннего сервера внаружу. Поясните пожалуйста как >это можно сделать, почему получилась такая ситуация и чем же отличается >тогда inside от outside. > > Можно позырыть на конфиг?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "NAT"
	Сообщение от БРЕДОР (ok) on 10-Май-08, 00:19
	>[оверквотинг удален] >>RDP на этот сервер, по 85.21.122.4:3389 чему был удивлен. >>До этого момента я думал что inside это когда я разрешаю транслировать >>внутренний ip во внешний, и никак ни с внешнего ip на >>внутренний. Я нихочу опубликовывать порты внутреннего сервера внаружу. Поясните пожалуйста как >>это можно сделать, почему получилась такая ситуация и чем же отличается >>тогда inside от outside. >> >> > >Можно позырыть на конфиг? interface Ethernet0/0 ip address 85.21.122.3 255.255.255.240 ip nat outside half-duplex ! interface Ethernet0/1 ip address 172.16.16.254 255.255.255.0 ip nat inside half-duplex ! interface Ethernet0/2 no ip address shutdown half-duplex ! interface Ethernet0/3 no ip address shutdown half-duplex ! ip nat pool Inet.3 85.21.122.3 85.21.122.3 netmask 255.255.255.240 ip nat inside source list 1 pool Inet.3 overload ip nat inside source static 172.16.16.2 85.21.122.4
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "NAT"
	Сообщение от БРЕДОР (ok) on 10-Май-08, 00:21
	>[оверквотинг удален] >>RDP на этот сервер, по 85.21.122.4:3389 чему был удивлен. >>До этого момента я думал что inside это когда я разрешаю транслировать >>внутренний ip во внешний, и никак ни с внешнего ip на >>внутренний. Я нихочу опубликовывать порты внутреннего сервера внаружу. Поясните пожалуйста как >>это можно сделать, почему получилась такая ситуация и чем же отличается >>тогда inside от outside. >> >> > >Можно позырыть на конфиг? Да можно, вот выборка: interface Ethernet0/0 ip address 85.21.122.3 255.255.255.240 ip nat outside half-duplex ! interface Ethernet0/1 ip address 172.16.16.254 255.255.255.0 ip nat inside half-duplex ! interface Ethernet0/2 no ip address shutdown half-duplex ! interface Ethernet0/3 no ip address shutdown half-duplex ! ip nat pool Inet.3 85.21.122.3 85.21.122.3 netmask 255.255.255.240 ip nat inside source list 1 pool Inet.3 overload ip nat inside source static 172.16.16.2 85.21.122.4
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "NAT"

Сообщение от CrAzOiD (ok) on 10-Май-08, 11:59

>Всем доброго времени суток! Хотелось бы разобраться в одном вопросе. >Топология сети: >Локальная сеть: 172.16.16.0/24 >В локальной сети существует некий сервер с адресом: 172.16.16.2 >Есть cisco рутер: e0/0: 172.16.16.2, e0/1:85.21.122.3,85.21.122.4 secondary здесь опечатка, на роутере другой адрес >[оверквотинг удален] > >С первым пунктом все ясно, второй пункт я решил таким образом: >ip nat inside source static 172.16.16.2 85.21.122.4 >Но у меня возникла заминка, я с удаленного компьютера легко зашел по >RDP на этот сервер, по 85.21.122.4:3389 чему был удивлен. >До этого момента я думал что inside это когда я разрешаю транслировать >внутренний ip во внешний, и никак ни с внешнего ip на >внутренний. Я нихочу опубликовывать порты внутреннего сервера внаружу. Поясните пожалуйста как >это можно сделать, почему получилась такая ситуация и чем же отличается >тогда inside от outside. все правильно, вы транслируете адрес в адрес если не хотите доступность снаружи, закрывайте при помощи ACL и, по желанию, ip inspect inside отличается от outside тем ЧТО транслировать. В первом случае транслируются source, во втором destination адреса IP пакета

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "NAT"
	Сообщение от Guest (??) on 11-Май-08, 10:07
	>>это можно сделать, почему получилась такая ситуация и чем же отличается >>тогда inside от outside. > >все правильно, вы транслируете адрес в адрес >если не хотите доступность снаружи, закрывайте при помощи ACL и, по желанию, >ip inspect > >inside отличается от outside тем ЧТО транслировать. В первом случае транслируются source, >во втором destination адреса IP пакета Вопрос тут в static NAT. Он отличается от обычного тем, что это двухсторонняя трансляция. То есть, если, как в Вашем NAT'е: ip nat inside source static 172.16.16.2 85.21.122.4 то это значит, что, обращаясь извне на адрес 85.21.122.4, Вы будете попадать на адрес 172.16.16.2.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "NAT"
	Сообщение от Guest (??) on 11-Май-08, 10:26
	> >inside отличается от outside тем ЧТО транслировать. В первом случае транслируются source, >во втором destination адреса IP пакета inside и outside нужны для того, чтобы указать с какого интерфейса будет транслироваться source адрес. Вы когда настраиваете NAT, то еще указываете, что один интерфейс -- inside,  а другой -- outside. Правило ip nat inside source говорит, что у трафика приходящего на inside интерфейс надо транслировать source адрес. Правило ip nat outside source говорит, что у трафика приходящего на outside интерфейс надо транслировать source адрес.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "NAT"
	Сообщение от БРЕДОР (??) on 11-Май-08, 22:43
	>[оверквотинг удален] >>во втором destination адреса IP пакета > >inside и outside нужны для того, чтобы указать с какого интерфейса будет >транслироваться source адрес. >Вы когда настраиваете NAT, то еще указываете, что один интерфейс -- inside, > а другой -- outside. >Правило ip nat inside source говорит, что у трафика приходящего на inside >интерфейс надо транслировать source адрес. >Правило ip nat outside source говорит, что у трафика приходящего на outside >интерфейс надо транслировать source адрес. Guest, а если не сложно можно пример, когда необходимо применить ip nat outside..зарнее спасибо!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "NAT"
	Сообщение от БРЕДОР (ok) on 11-Май-08, 22:50
	>[оверквотинг удален] >>транслироваться source адрес. >>Вы когда настраиваете NAT, то еще указываете, что один интерфейс -- inside, >> а другой -- outside. >>Правило ip nat inside source говорит, что у трафика приходящего на inside >>интерфейс надо транслировать source адрес. >>Правило ip nat outside source говорит, что у трафика приходящего на outside >>интерфейс надо транслировать source адрес. > >Guest, а если не сложно можно пример, когда необходимо применить ip nat >outside..Правильно ли я понял, что эти строчки эквивалентны: ip nat inside source 172.16.16.2 85.21.122.3 ip nat outside source 85.21.122.3 172.16.16.2 ...Заранее спасибо !!!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "NAT"
	Сообщение от Nataliya (ok) on 12-Май-08, 13:39
	>>Guest, а если не сложно можно пример, когда необходимо применить ip nat >>outside.. ip nat outside source list может использоваться в ситуациях, когда у вас есть две внутренние сети с одинаковым диапазоном адресов (например, разных компаний), которые Вам надо соединить между собой. > Правильно ли я понял, что эти строчки эквивалентны: > >ip nat inside source 172.16.16.2 85.21.122.3 >ip nat outside source 85.21.122.3 172.16.16.2 >...Заранее спасибо !!! Если это трансляция static, то да -- строки эквивалентны Важный момент при задании правил NAT -- порядок выполнения маршрутизации и трансляции: -- Когда пакет передается из inside на outside, сначала проверяется таблица маршрутизации (смотрим destination  адрес), а потом выполняется трансляция. -- Когда пакет передается с inside на outside, сначала выполняется трансляция, а потом проверяется таблица маршрутизации
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "NAT"
	Сообщение от БРЕДОР (ok) on 13-Май-08, 09:29
	>[оверквотинг удален] >>...Заранее спасибо !!! > >Если это трансляция static, то да -- строки эквивалентны > >Важный момент при задании правил NAT -- порядок выполнения маршрутизации и трансляции: > > -- Когда пакет передается из inside на outside, сначала проверяется таблица >маршрутизации (смотрим destination  адрес), а потом выполняется трансляция. > -- Когда пакет передается с inside на outside, сначала выполняется трансляция, >а потом проверяется таблица маршрутизации всем спасибо за участие!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]