форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Проброс ДНС во внешку."

Сообщение от baldyman on 26-Авг-08, 16:42

Всем доброго времени суток. Есть Cisco 1751, стоит между локалкой и интернетом. Провайдер дал сеть xxx.xxx.130.0/28. В локалке есть DNS сервер. Master поднять в другом месте не представляется возможным. Подскажите, как можно "вынести" его наружу, только не физически :) Т.е. чтобы днс запрос пришел на внешний интерфейс маршрутизатора, тот переправил его в локалку к ДНС-серверу и потом обратно. (По аналогии с PREROUTING и POSTROUTING в iptables.) Столкнулся с cisco впервые, вот пока что куря маны удалось насобирать: Internet_Cisco1751#sh run version 12.2 service config service timestamps debug uptime service timestamps log uptime no service password-encryption service udp-small-servers service tcp-small-servers ! hostname Internet_Cisco1751 ! no logging on enable secret 5 $xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx enable password xxxxxxxxxxxxxxxxx ! username xxxx privilege 15 password 0 xxxxxxxxxxxxxxxxx memory-size iomem 25 aaa new-model ! ! aaa authentication password-prompt password: aaa authentication username-prompt login: aaa authentication login default local aaa authentication login linelist local aaa authentication login vtylist local aaa authentication login conslist line aaa authentication login auxlist local aaa authentication login without-pass none aaa authentication ppp default local aaa authorization exec default local if-authenticated aaa authorization network default local aaa session-id common ip subnet-zero no ip source-route ! no ip bootp server ip cef ! interface FastEthernet0/0 ip address 172.16.1.1 255.255.255.0 ip access-group 10 in ip nat inside speed auto full-duplex no cdp enable ! interface Ethernet1/0 ip address xxx.xxx.130.10 255.255.255.240 secondary ip address xxx.xxx.130.3 255.255.255.240 ip access-group 101 out ip nat outside full-duplex no cdp enable ! ip nat pool Internet xxx.xxx.130.4 xxx.xxx.130.14 netmask 255.255.255.240 ip nat inside source list 1 pool Internet ip classless ip route 0.0.0.0 0.0.0.0 xxx.xxx.130.1 no ip http server ! ! access-list 1 permit 172.16.1.0 0.0.0.255 access-list 10 permit 172.16.0.0 0.0.255.255 access-list 101 deny   tcp any any eq telnet access-list 101 permit tcp 172.16.1.0 0.0.0.255 any eq telnet radius-server authorization permit missing Service-Type ! line con 0 exec-timeout 0 0 privilege level 7 password xxxxxxxxxx login authentication conslist line aux 0 line vty 0 4 access-class 28 out privilege level 7 password xxxxxxxxxx login authentication vtylist ! no scheduler allocate end

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Проброс ДНС во внешку."

Сообщение от CrAzOiD (ok) on 26-Авг-08, 16:47

>[оверквотинг удален] > login authentication conslist >line aux 0 >line vty 0 4 > access-class 28 out > privilege level 7 > password xxxxxxxxxx > login authentication vtylist >! >no scheduler allocate >end ip nat inside soutce static tcp xxx.xxx.xxx.xxx 53 yyy.yyy.yyy.yyy 53 ip nat inside soutce static udp xxx.xxx.xxx.xxx 53 yyy.yyy.yyy.yyy 53 xxx.xxx.xxx.xxx - внутренний адрес где стоит DNS yyy.yyy.yyy.yyy - внешний адрес

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Проброс ДНС во внешку."
	Сообщение от baldyman on 26-Авг-08, 16:50
	>ip nat inside soutce static tcp xxx.xxx.xxx.xxx 53 yyy.yyy.yyy.yyy 53 >ip nat inside soutce static udp xxx.xxx.xxx.xxx 53 yyy.yyy.yyy.yyy 53 > >xxx.xxx.xxx.xxx - внутренний адрес где стоит DNS >yyy.yyy.yyy.yyy - внешний адрес Ну и я так полагаю, что например если я почтовый сервак поставлю у себя в локалке, то для 25 и 110 портов будет по аналогии всё ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Проброс ДНС во внешку."
	Сообщение от Самый главный аноним on 26-Авг-08, 17:10
	>>ip nat inside soutce static tcp xxx.xxx.xxx.xxx 53 yyy.yyy.yyy.yyy 53 >>ip nat inside soutce static udp xxx.xxx.xxx.xxx 53 yyy.yyy.yyy.yyy 53 >> >>xxx.xxx.xxx.xxx - внутренний адрес где стоит DNS >>yyy.yyy.yyy.yyy - внешний адрес > >Ну и я так полагаю, что например если я почтовый сервак поставлю >у себя в локалке, то >для 25 и 110 портов будет по аналогии всё ? Может не стоит 110 открывать снаружи? Есть pop3 over SSL/TLS (995)... А так аналогично, только udp не надо.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Проброс ДНС во внешку."
	Сообщение от CrAzOiD (ok) on 26-Авг-08, 18:14
	>>ip nat inside soutce static tcp xxx.xxx.xxx.xxx 53 yyy.yyy.yyy.yyy 53 >>ip nat inside soutce static udp xxx.xxx.xxx.xxx 53 yyy.yyy.yyy.yyy 53 >> >>xxx.xxx.xxx.xxx - внутренний адрес где стоит DNS >>yyy.yyy.yyy.yyy - внешний адрес > >Ну и я так полагаю, что например если я почтовый сервак поставлю >у себя в локалке, то >для 25 и 110 портов будет по аналогии всё ? угу... тока внимательно думать что и как открывать
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Проброс ДНС во внешку."
	Сообщение от baldyman on 27-Авг-08, 16:13
	Чего ещё хотел спросить... Есть у меня такие строки в конфиге: interface Ethernet1/0 ip address xxx.xxx.130.10 255.255.255.240 secondary ip address xxx.xxx.130.3 255.255.255.240 ip access-group 101 out ip nat outside full-duplex no cdp enable ! ip nat pool Internet xxx.xxx.130.4 xxx.xxx.130.14 netmask 255.255.255.240 ip nat inside source list 1 pool Internet ip classless ip route 0.0.0.0 0.0.0.0 xxx.xxx.130.1 no ip http server ! ! access-list 1 permit 172.16.1.0 0.0.0.255 access-list 101 deny   tcp any any eq telnet access-list 101 permit tcp 172.16.1.0 0.0.0.255 any eq telnet Когда из локалки кто-то выходит в инет, то во внешке им сопоставляются адреса из ip nat pool Internet. так вот, мой ДНС ещё являетяс и слэйвом другого сервера, но зоны с мастера потянуть не могёт по причине того, что на мастере прописана директива по соображениям безопасности: zone "xxxxxx.ru" IN {         type master;         file "named.xxxxxx";         allow-transfer { xxx.xxx.130.10; xxx.xxx.243.90; }; Теперь собственно вопрос такой, как заставить, чтобы ответ от ДНС-сервера, который находится за маршрутизатором возвращался с адреса xxx.xxx.130.10, который на eth1/0 прописан, как секондари. Или вообще, как по другому можно организовать всё это дело, например так, чтобы назначить нужное кол-во адресов на внешнем интерфейсе, и чтобы в соответствии с определенными правилами на адрес приходил пакет из вне и результат был возвращен с того адреса, на который пришел пакет. И ещё, если можно, то наставьте на истинный путь, как можно это дело всё организовать без пула адресов.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Проброс ДНС во внешку."
	Сообщение от CrAzOiD (ok) on 27-Авг-08, 16:55
	>[оверквотинг удален] >прописана директива по соображениям безопасности: >zone "xxxxxx.ru" IN { >        type master; >        file "named.xxxxxx"; >        allow-transfer { xxx.xxx.130.10; xxx.xxx.243.90; >}; > >Теперь собственно вопрос такой, как заставить, чтобы ответ от ДНС-сервера, который находится >за маршрутизатором возвращался с адреса xxx.xxx.130.10, который на eth1/0 прописан, как >секондари. Или вообще, как по другому можно организовать всё это дело, ip nat inside source static udp DNS-SERVER 53 xxx.xxx.130.10 53 ext ip nat inside source static tcp DNS-SERVER 53 xxx.xxx.130.10 53 ext >например так, чтобы назначить нужное кол-во адресов на внешнем интерфейсе, и >чтобы в соответствии с определенными правилами на адрес приходил пакет из >вне и результат был возвращен с того адреса, на который пришел >пакет. И ещё, если можно, то наставьте на истинный путь, как >можно это дело всё организовать без пула адресов. не очень понял "это все дело" что значит? транслитуйте не через пул, а на адрес или интерфейс с указанием что на что транслируется
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Проброс ДНС во внешку."
	Сообщение от baldyman on 27-Авг-08, 17:06
	>не очень понял "это все дело" что значит? >транслитуйте не через пул, а на адрес или интерфейс с указанием что >на что транслируется В конфигурировании cisco я полный дилетант. Не могу понять как можно в данном случае обойтись без пула адресов. Если можно, то покажите пример как просто сделать так, чтобы на внешнем интерфейсе было 4 адреса: Через первый выходилть в инетрнет по страницам лазить, на втором был dns-сервер (трансляция из локальной сети), на 3-м smtp и на 4-м pop3 (так же трансляция адреса из локалки во вне). И всё это без пула.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Проброс ДНС во внешку."
	Сообщение от CrAzOiD (ok) on 27-Авг-08, 17:12
	>[оверквотинг удален] >В конфигурировании cisco я полный дилетант. >Не могу понять как можно в данном случае обойтись без пула адресов. > >Если можно, то покажите пример как просто сделать так, чтобы на внешнем >интерфейсе было 4 адреса: >Через первый выходилть в инетрнет по страницам лазить, >на втором был dns-сервер (трансляция из локальной сети), >на 3-м smtp и на 4-м pop3 (так же трансляция адреса из >локалки во вне). >И всё это без пула. на надо на внешнем интерфейсе адреса плодить как это делается я показал вот читай, тут много примеров http://www.cisco.com/en/US/tech/tk648/tk361/tk438/tsd_techno...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]