Я долго просматривал форум, и вроде бы не нашел описания ситуации, в которую я попал.
Имеем Cisco 3725 Router, который динамически транслирует адреса с перегрузкой (overload) из двух не перекрывающихся подсетей (на внутренних интерфейсах роутера) на внешний интерфейс, смотрящий в Интернет.
В обеих подсетях установлены почтовые серверы.Соответственно, для них на роутере проброшен статический NAT по всем портам.
ip nat inside source list 1 interface FastEthernet0/1 overload - NAT для внутреннего интерфейса 1
ip nat inside source list 2 interface FastEthernet0/1 overload - NAT для внутреннего интерфейса 2
ip nat inside source static 192.168.0.1 xxx.xxx.xxx.xxx extendable - статическая трансляция локального IP-адреса из сети 1 сервера в глобальный
ip nat inside source static 192.168.0.90 xxx.xxx.xxx.xxy extendable - статическая трансляция локального IP-адреса из сети 2 сервера в глобальный
Контроль доступа к серверам производится через ACL, накладываемые на внешний порт роутера.
Дальше начались грабли, касающиеся реверсивного просмотра PTR-записей на DNS-сервере, находящемся внутри локальной сети 2, на котором в зонах пробиты оба почтовых сервера.
Запросы к DNS-серверу транслируются по следующим правилам:
ip nat inside source static tcp 192.168.0.92 53 xxx.xxx.xxx.xxz 53 extendable
ip nat inside source static udp 192.168.0.92 53 xxx.xxx.xxx.xxz 53 extendable
1 грабля [решенная]:
Динамический NAT превалирует над статическим, поэтому в ACL 1 и ACL 2 пришлось прописать строчки
access-list 1 deny 192.168.0.1
access-list 2 deny 192.168.0.90
Чтобы трансляция адресов производилась исключительно через статику.
2 грабля [нерешенная]:
С ужасом обнаружил, что транслируются не только заголовки пакета, но и адреса, указанные в его теле. Причем трансляция заголовков идет по правилам для DNS-сервера, а трансляция в теле - по правилам для почтовых серверов.
Как выяснил:
На запрос PTR-записей почтовых серверов из-вне сети DNS-сервер продолжал отвечать, что таких записей не существует, несмотря на корректную настройку зоны.
Cоздал вторую PTR-зону с нереальными адресами серверов. DNS-сервер начал корректно отвечать на запросы PTR-записей из-вне сети, выдавая с помощью NAT реальные IP-адреса.
Тем не менее, считаю, что это не выход, поскольку зона должна реплицироваться к провайдеру, а плюнуть на PTR-записи я не могу, в частности, поскольку по ним осуществляется проверка существования почтовых серверов в рамках борьбы со спамом - то есть в данный момент почта уходит, но не во все домены.
В связи с этим у меня два вопроса:
1. Если трансляция адресов в теле пакета является фичей IOS`а (12.3 IPVOICE-M), то можно ли ее отключить и если можно, то как?
2. Буду признателен, если изложите идеи решения проблемы.
Если я пропустил какой-либо пост с решением аналогичного вопроса - не судите строго - я честно просматривал форум и статьи, используя поиск.
Вариант для распечатки
Маршрутизаторы CISCO и др. оборудование. (Public)
(ok) on
15-Дек-05, 15:53 (MSK)
