forum.opennet.ru - "Как правильно настроить NAT" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Как правильно настроить NAT"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Как правильно настроить NAT"	+/–
Сообщение от Сергей (??) on 27-Авг-15, 14:15
Добрый день, не могу понять как правильно организовать следующую схему: вся сеть 192.168.1.0/24 ходит в инет через X.X.X.2, но есть почтовый сервер и ему надо выходить в инет через адрес X.X.X.3 У меня только одна мысль порезать по VLANам и интерфейсы привязать к разным правилам ip nat .. но может это как то более элегантно делается ? interface GigabitEthernet0/0 ip address X.X.X.3 255.255.255.248 secondary ip address X.X.X.2 255.255.255.248 ip nat outside interface GigabitEthernet0/1 ip address 192.168.1.1 255.255.255.0 ip nat inside ip virtual-reassembly no ip route-cache ip route 0.0.0.0 0.0.0.0 X.X.X.1 ip nat inside source list 1 interface GigabitEthernet0/0 overload ip nat inside source static tcp 192.168.1.10 25 X.X.X.3 25 extendable access-list 1 permit 192.168.1.0 0.0.0.255
Ответить \| Правка \| Cообщить модератору

Оглавление

Как правильно настроить NAT, Merridius, 15:56 , 27-Авг-15, (1)

Как правильно настроить NAT, Сергей, 07:35 , 28-Авг-15, (2)

Как правильно настроить NAT, ShyLion, 07:43 , 28-Авг-15, (3)

Как правильно настроить NAT, ShyLion, 07:44 , 28-Авг-15, (4)
Как правильно настроить NAT, Сергей, 11:46 , 28-Авг-15, (5)

Как правильно настроить NAT, ShyLion, 14:34 , 28-Авг-15, (6)

Как правильно настроить NAT, Сергей, 10:08 , 30-Авг-15, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "Как правильно настроить NAT" +/–

Сообщение от Merridius (ok) on 27-Авг-15, 15:56

>[оверквотинг удален]
>  ip nat outside
> interface GigabitEthernet0/1
>  ip address 192.168.1.1 255.255.255.0
>  ip nat inside
>  ip virtual-reassembly
>  no ip route-cache
> ip route 0.0.0.0 0.0.0.0 X.X.X.1
> ip nat inside source list 1 interface GigabitEthernet0/0 overload
> ip nat inside source static tcp 192.168.1.10 25 X.X.X.3 25 extendable
> access-list 1 permit 192.168.1.0 0.0.0.255
Правильно будет отправить сервера в DMZ.
Организовать ее можно с помощью ZBPF и VLAN.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Как правильно настроить NAT" +/–

Сообщение от Сергей (??) on 28-Авг-15, 07:35

> Правильно будет отправить сервера в DMZ.
> Организовать ее можно с помощью ZBPF и VLAN.
За ZBPF .. спасибо .. вообще считал, что зоны можно использовать только на ASA
но предлагаю вернуться к "нашим баранам" ..
пусть
1. сеть 192.168.1.0/24 DMZ
2. Сервер 192.168.1.2 Proxy
3. Сервер 192.168.1.3 MTA
4. Есть правило access-list 1 permit host 192.168.1.2
4. Есть правило access-list 2 permit host 192.168.1.3
Как можно запустить чтобы правило с ACL 1 ходил через IP X.X.X.2, а правило с ACL 2 ходил через IP X.X.X.3 ?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Как правильно настроить NAT" +/–

Сообщение от ShyLion (ok) on 28-Авг-15, 07:43

> interface GigabitEthernet0/0
>  ip address X.X.X.3 255.255.255.248 secondary
это лишнее
> ip nat inside source list 1 interface GigabitEthernet0/0 overload
> ip nat inside source static 192.168.1.10 X.X.X.3 extendable
Обязательно настроить ZBFW
или входящий аксес-лист повесить на Gi0/0, разрешающий только нужный траффик на адрес X.X.X.3
или нормально настроить фаервол на 192.168.1.10 словно он в инете напрямую.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Как правильно настроить NAT" +/–

Сообщение от ShyLion (ok) on 28-Авг-15, 07:44

Заготовка для  ZBFW

ip inspect log drop-pkt
zone security LAN
zone security INET
object-group service IPSEC
esp
ahp
udp eq isakmp
udp eq non500-isakmp
gre
object-group service good_ICMP
icmp echo
icmp echo-reply
icmp parameter-problem
icmp unreachable
icmp source-quench
icmp traceroute
icmp time-exceeded
ip access-list extended zbfc_ICMP
permit object-group good_ICMP any any
class-map type inspect match-any zbfc_ICMP
match access-group name zbfc_ICMP
ip access-list extended zbfc_IPSEC
permit object-group IPSEC any any

class-map type inspect match-any zbfc_IPSEC
match access-group name zbfc_IPSEC
class-map type inspect match-any zbfc_INET_IN_SELF
match protocol ssh
match protocol ntp
policy-map type inspect zbfp_INET2LAN
class class-default
  drop
policy-map type inspect zbfp_INET2SELF
class zbfc_INET_IN_SELF
  pass
class zbfc_IPSEC
  pass
class zbfc_ICMP
  pass
class-map type inspect match-any zbfc_DROP_OUT
match protocol bittorrent
match protocol pptp
match protocol l2tp
!
class-map type inspect match-any zbfc_INSPECT_OUT
match protocol ftp
match protocol tcp
match protocol udp
match protocol icmp
policy-map type inspect zbfp_LAN2INET
class zbfc_DROP_OUT
  drop log
class zbfc_INSPECT_OUT
  inspect
class class-default
  pass
zone-pair security zp_INET2LAN source INET destination LAN
service-policy type inspect zbfp_INET2LAN
zone-pair security zp_INET2SELF source INET destination self
service-policy type inspect zbfp_INET2SELF
zone-pair security zp_LAN2INET source LAN destination INET
service-policy type inspect zbfp_LAN2INET
! interface Vlan1
!  zone-member security LAN
! interface TunXX
!  zone-member security LAN
! interface Dial1
!  zone-member security INET
Если нужно пропускать входящий траффик из зоны INET в зону LAN, то нужно создать класс и добавить в соответствующий полиси-мап. В правилах класса адрес дестинейшена внурти использовать внутренний, так как ZBFW работает после трансляции адреса.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Как правильно настроить NAT" +/–

Сообщение от Сергей (??) on 28-Авг-15, 11:46

>>  ip address X.X.X.3 255.255.255.248 secondary
> это лишнее
если уберу, как будут работать подключение IN/OUT с адреса x.x.x.3 ??
> или входящий аксес-лист повесить на Gi0/0, разрешающий только нужный траффик на адрес
> X.X.X.3
прощу прощения, может что то я не понял.
есть блок адресов, хочу чтобы исходящий внешний трафик был с разных IP адресов (прокси один, почта, другой и т.д.)
Задачу с входящим трафиком решил так:
ip nat inside source static tcp 192.168.1.10 25 X.X.X.3 25 extendable
Исходящий трафик задан правилом:
ip nat inside source list 1 interface GigabitEthernet0/0 overload
но все улетает с адреса х.х.х.2, а мне надо чтобы для почты исходящий адрес был: х.х.х.3, а для всего остального х.2

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Как правильно настроить NAT" +/–

Сообщение от ShyLion (ok) on 28-Авг-15, 14:34

> но все улетает с адреса х.х.х.2, а мне надо чтобы для почты
> исходящий адрес был: х.х.х.3, а для всего остального х.2
с моим примером хост .10 будет в инет ходить с адреса х.х.х.3
и обращения с инета на адрес х.х.х.3 будут перекидываться на хост .10
назначать х.х.х.3 на интерфейс не нужно, роутер и так будет отвечать на ARP запросы этого адреса. Когда назначаешь IP на интерфейс роутера, он на этом IP еще и свой control plane подключает, что чаще всего не надо и даже вредно.
Лучший вариант вообще для ната использовать адреса, отличные от адреса интерфейса, с использованием пула. Тогда control plane отдельно, а пользовательский траффик отдельно.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Как правильно настроить NAT" +/–

Сообщение от Сергей (??) on 30-Авг-15, 10:08

ОК .. буду пробовать
Спасибо, за подробный ответ.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Как правильно настроить NAT"	+/–
Сообщение от Merridius (ok) on 27-Авг-15, 15:56
>[оверквотинг удален] > ip nat outside > interface GigabitEthernet0/1 > ip address 192.168.1.1 255.255.255.0 > ip nat inside > ip virtual-reassembly > no ip route-cache > ip route 0.0.0.0 0.0.0.0 X.X.X.1 > ip nat inside source list 1 interface GigabitEthernet0/0 overload > ip nat inside source static tcp 192.168.1.10 25 X.X.X.3 25 extendable > access-list 1 permit 192.168.1.0 0.0.0.255 Правильно будет отправить сервера в DMZ. Организовать ее можно с помощью ZBPF и VLAN.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Как правильно настроить NAT"	+/–
	Сообщение от Сергей (??) on 28-Авг-15, 07:35
	> Правильно будет отправить сервера в DMZ. > Организовать ее можно с помощью ZBPF и VLAN. За ZBPF .. спасибо .. вообще считал, что зоны можно использовать только на ASA но предлагаю вернуться к "нашим баранам" .. пусть 1. сеть 192.168.1.0/24 DMZ 2. Сервер 192.168.1.2 Proxy 3. Сервер 192.168.1.3 MTA 4. Есть правило access-list 1 permit host 192.168.1.2 4. Есть правило access-list 2 permit host 192.168.1.3 Как можно запустить чтобы правило с ACL 1 ходил через IP X.X.X.2, а правило с ACL 2 ходил через IP X.X.X.3 ?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

3. "Как правильно настроить NAT"	+/–
Сообщение от ShyLion (ok) on 28-Авг-15, 07:43
> interface GigabitEthernet0/0 > ip address X.X.X.3 255.255.255.248 secondary это лишнее > ip nat inside source list 1 interface GigabitEthernet0/0 overload > ip nat inside source static 192.168.1.10 X.X.X.3 extendable Обязательно настроить ZBFW или входящий аксес-лист повесить на Gi0/0, разрешающий только нужный траффик на адрес X.X.X.3 или нормально настроить фаервол на 192.168.1.10 словно он в инете напрямую.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "Как правильно настроить NAT"	+/–
	Сообщение от ShyLion (ok) on 28-Авг-15, 07:44
	Заготовка для ZBFW ip inspect log drop-pkt zone security LAN zone security INET object-group service IPSEC esp ahp udp eq isakmp udp eq non500-isakmp gre object-group service good_ICMP icmp echo icmp echo-reply icmp parameter-problem icmp unreachable icmp source-quench icmp traceroute icmp time-exceeded ip access-list extended zbfc_ICMP permit object-group good_ICMP any any class-map type inspect match-any zbfc_ICMP match access-group name zbfc_ICMP ip access-list extended zbfc_IPSEC permit object-group IPSEC any any class-map type inspect match-any zbfc_IPSEC match access-group name zbfc_IPSEC class-map type inspect match-any zbfc_INET_IN_SELF match protocol ssh match protocol ntp policy-map type inspect zbfp_INET2LAN class class-default drop policy-map type inspect zbfp_INET2SELF class zbfc_INET_IN_SELF pass class zbfc_IPSEC pass class zbfc_ICMP pass class-map type inspect match-any zbfc_DROP_OUT match protocol bittorrent match protocol pptp match protocol l2tp ! class-map type inspect match-any zbfc_INSPECT_OUT match protocol ftp match protocol tcp match protocol udp match protocol icmp policy-map type inspect zbfp_LAN2INET class zbfc_DROP_OUT drop log class zbfc_INSPECT_OUT inspect class class-default pass zone-pair security zp_INET2LAN source INET destination LAN service-policy type inspect zbfp_INET2LAN zone-pair security zp_INET2SELF source INET destination self service-policy type inspect zbfp_INET2SELF zone-pair security zp_LAN2INET source LAN destination INET service-policy type inspect zbfp_LAN2INET ! interface Vlan1 ! zone-member security LAN ! interface TunXX ! zone-member security LAN ! interface Dial1 ! zone-member security INET Если нужно пропускать входящий траффик из зоны INET в зону LAN, то нужно создать класс и добавить в соответствующий полиси-мап. В правилах класса адрес дестинейшена внурти использовать внутренний, так как ZBFW работает после трансляции адреса.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Как правильно настроить NAT"	+/–
	Сообщение от Сергей (??) on 28-Авг-15, 11:46
	>> ip address X.X.X.3 255.255.255.248 secondary > это лишнее если уберу, как будут работать подключение IN/OUT с адреса x.x.x.3 ?? > или входящий аксес-лист повесить на Gi0/0, разрешающий только нужный траффик на адрес > X.X.X.3 прощу прощения, может что то я не понял. есть блок адресов, хочу чтобы исходящий внешний трафик был с разных IP адресов (прокси один, почта, другой и т.д.) Задачу с входящим трафиком решил так: ip nat inside source static tcp 192.168.1.10 25 X.X.X.3 25 extendable Исходящий трафик задан правилом: ip nat inside source list 1 interface GigabitEthernet0/0 overload но все улетает с адреса х.х.х.2, а мне надо чтобы для почты исходящий адрес был: х.х.х.3, а для всего остального х.2
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	6. "Как правильно настроить NAT"	+/–
	Сообщение от ShyLion (ok) on 28-Авг-15, 14:34
	> но все улетает с адреса х.х.х.2, а мне надо чтобы для почты > исходящий адрес был: х.х.х.3, а для всего остального х.2 с моим примером хост .10 будет в инет ходить с адреса х.х.х.3 и обращения с инета на адрес х.х.х.3 будут перекидываться на хост .10 назначать х.х.х.3 на интерфейс не нужно, роутер и так будет отвечать на ARP запросы этого адреса. Когда назначаешь IP на интерфейс роутера, он на этом IP еще и свой control plane подключает, что чаще всего не надо и даже вредно. Лучший вариант вообще для ната использовать адреса, отличные от адреса интерфейса, с использованием пула. Тогда control plane отдельно, а пользовательский траффик отдельно.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Как правильно настроить NAT"	+/–
	Сообщение от Сергей (??) on 30-Авг-15, 10:08
	ОК .. буду пробовать Спасибо, за подробный ответ.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору