The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
NAT одновременно и IP источника и IP назначения, !*! SergeyBoo, 31-Май-07, 18:19  [смотреть все]
Можно ли и как сделать на Cisco IOS или PIX одновременную трансляцию IP источника и IP назначения? Т.е. приходит на маршрутизатор/PIX пакет с ip1_src,ip1_dest, надо чтобы он ушел с другого интерфейса с ip2_src,ip2_dst. При этом ip1_dest всегда меняется в один и тот же ip2_dst, а вот ip1_src меняется в ip2_src согласно некой таблицы.
Ответить | Сообщить модератору
  • NAT одновременно и IP источника и IP назначения, !*! vgray, 08:46 , 01-Июн-07 (1)
    >Можно ли и как сделать на Cisco IOS или PIX одновременную трансляцию
    >IP источника и IP назначения? Т.е. приходит на маршрутизатор/PIX пакет с
    >ip1_src,ip1_dest, надо чтобы он ушел с другого интерфейса с ip2_src,ip2_dst. При
    >этом ip1_dest всегда меняется в один и тот же ip2_dst, а
    >вот ip1_src меняется в ip2_src согласно некой таблицы.

    конечно, dst 192.168.10.254 меняется в 172.16.10.5
    src 192.168.10.20 меняется  в 200.0.0.1
    src 192.168.10.30 меняется  в 200.0.0.3

    interface FastEthernet0/0
    ip address 192.168.10.1 255.255.255.0
    ip nat inside

    interface Serial1/1
    ip address 200.0.0.1 255.255.255.248
    ip nat outside  

    ip nat pool isp2.ip1 200.0.0.1 200.0.0.1 prefix-length 29
    ip nat pool isp2.ip2 200.0.0.3 200.0.0.3 prefix-length 29

    ip nat inside source route-map nat-clients-to-isp2-ip.1 pool isp2.ip1 overload
    ip nat inside source route-map nat-clients-to-isp2-ip.2 pool isp2.ip2 overload
    ip nat outside source static 172.16.10.5 192.168.10.254 add-route            

    ip access-list standard nat-clients-to-isp2-ip.1
    permit 192.168.10.20
    ip access-list standard nat-clients-to-isp2-ip.2
    permit 192.168.10.30
    !
    route-map nat-clients-to-isp2-ip.1 permit 10
    match ip address nat-clients-to-isp2-ip.1
    !
    route-map nat-clients-to-isp2-ip.2 permit 10
    match ip address nat-clients-to-isp2-ip.2    

    Ответить | Сообщить модератору
    • NAT одновременно и IP источника и IP назначения, !*! SergeyBoo, 10:35 , 01-Июн-07 (2)
      Спасибо. Наверное заработает. А на Cisco PIX/ASA в принципе это возможно?
      Ответить | Сообщить модератору
      • NAT одновременно и IP источника и IP назначения, !*! asto, 13:45 , 01-Июн-07 (3)
        >Спасибо. Наверное заработает. А на Cisco PIX/ASA в принципе это возможно?


        Да возможно.
        Работающий конфиг двустороннего ната с пикса:

        global (outside) 1 interface
        nat (inside) 1 172.0.0.0 255.255.255.192 0 0
        static (outside,inside) 172.1.0.1 10.1.1.1 netmask 255.255.255.255 0 0
        + необходимые маршруты прописать руками или настроить OSPF

        сеть 172.0.0.0 находится в инсайде
        сеть 10.0.0.0 - в аутсайде
        тогда для адресов из сети 172.0.0.0/26 делается PAT и сервер из сети 2 (10.1.1.1) видится в первой сети как 172.1.0.1

        Ответить | Сообщить модератору
        • NAT одновременно и IP источника и IP назначения, !*! Sergey Boo, 18:32 , 04-Июн-07 (4)
          Спасибо за ответ asto. Но кажется это будет немного не то.
          У всех пакетов выходящих через outside будет менятся адрес источника ip1_src на ip2_src(адрес интерфейса outside), но не будет менятся адрес назначения ip1_dest. И только в случае если пакет из инсайда(172.0.0.0) придет на адрес 172.1.0.1, то ip1_dest заменится на 10.1.1.1

          А нужно следуюещее: все пакеты приходят на адрес интерфейса1, надо всем пакетам заменить адрес назначения на один и тот же и "вытолкнуть" через интерфейс2. Это делается легко:
          static (интерфейс2,интерфейс1) ip1_dest ip2_dest netmask 255.255.255.255 0 0

          НО! при этом надо еще заменить адреса источников пакетов на другие в соответствии с таблицей. Вот это сделать уже не могу :(


          Ответить | Сообщить модератору
  • NAT одновременно и IP источника и IP назначения, !*! magr, 14:32 , 05-Июн-07 (5)
    >Можно ли и как сделать на Cisco IOS или PIX одновременную трансляцию
    >IP источника и IP назначения? Т.е. приходит на маршрутизатор/PIX пакет с
    >ip1_src,ip1_dest, надо чтобы он ушел с другого интерфейса с ip2_src,ip2_dst. При
    >этом ip1_dest всегда меняется в один и тот же ip2_dst, а
    >вот ip1_src меняется в ip2_src согласно некой таблицы.

    Для пиксов - "Configuring Overlapping Networks"
    http://www.cisco.com/en/US/docs/security/pix/pix63/configura...

    Ответить | Сообщить модератору
  • NAT одновременно и IP источника и IP назначения, !*! SergeyBoo, 07:31 , 07-Авг-07 (6)
    >Можно ли и как сделать на Cisco IOS или PIX одновременную трансляцию ....

    Отвечаю - можно.
    static (int2,int1) ip1_dest ip2_dest netmask 255.255.255.255 0 0
    static (int1,int2) ip2_src ip1_src netmask 255.255.255.255 0 0

    и можно даже еще порты при этом переназначать

    Ответить | Сообщить модератору
    • NAT одновременно и IP источника и IP назначения, !*! afr, 17:32 , 28-Апр-11 (7)
      >>Можно ли и как сделать на Cisco IOS или PIX одновременную трансляцию ....
      > Отвечаю - можно.
      > static (int2,int1) ip1_dest ip2_dest netmask 255.255.255.255 0 0
      > static (int1,int2) ip2_src ip1_src netmask 255.255.255.255 0 0
      > и можно даже еще порты при этом переназначать

      при этом в логах PIX-6-110001: No route to ip2_dst from ip2_src
      если добавить route int2 ip2_dst (он же ip1_src) gw, то пакеты черз int2 уходят (с нужным src и dst), но возникает другая трабля, ip1_src перестает получать пакеты идущие через pix, даже элементарно не может пропинговать IP на int1, как быть?

      Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру