- Странности при простом пробросе порта, Дмитрий, 12:58 , 19-Май-10 (1)
Вроде был такой глюк... Можно место внешнего адреса прописать внешний интерфейс.
- Странности при простом пробросе порта, _RAW_, 13:24 , 19-Май-10 (2)
>Вроде был такой глюк... >Можно место внешнего адреса прописать внешний интерфейс. В моем случае не подойдет :(... Мне тут понадобилось промаршрутизировать пакет с одного сервера в одном пуле на другой сервер в другом пуле. Обрисую в деталях: На внутреннем DMZ интерфейсе прилеплено два пула: 79.109.73.0/28 (primary ip on Fa1/0 79.109.73.1) 79.109.91.128/26 (secondary ip on Fa1/0 79.109.91.129) так вот понадобилось маршрутизировать порт 501 с сервера 79.109.73.6 на сервер 79.109.91.140 по идее оба сервера идут на один и тот же интерфейс циски. По этому использовать интерфейс в правиле ната не получается... Проброс работает, но по прежнему затыкается коннект на исходный адрес и порт.
- Странности при простом пробросе порта, Дмитрий, 13:26 , 19-Май-10 (3)
А Вы можете показать конфиг со всеми натами и всем, что к ним относится?
- Странности при простом пробросе порта, _RAW_, 13:38 , 19-Май-10 (4)
>А Вы можете показать конфиг со всеми натами и всем, что к >ним относится? interface FastEthernet1/0 description DMZ ip address 79.109.91.129 255.255.255.192 secondary ip address 79.109.73.1 255.255.255.240 ip access-group dmzin in ip accounting output-packets ip nat inside no ip mroute-cache ip policy route-map provider-map duplex auto speed 100 ! interface FastEthernet2/0 description PROVIDER ip address 63.118.73.5 255.255.255.252 ip access-group providerin in ip access-group providerout out ip verify unicast reverse-path ip nat outside duplex auto speed auto ! ip nat log translations syslog ip nat pool provider-space 63.118.73.5 63.118.73.5 netmask 255.255.255.252 ip nat inside source list ucs interface Tunnel0 overload ip nat inside source route-map provider-map pool provider-space overload ip nat inside source static tcp 79.109.91.140 501 79.109.73.6 501 extendable no-alias ip classless ip route 0.0.0.0 0.0.0.0 63.118.73.6 ip route 79.109.73.0 255.255.255.240 FastEthernet1/0 ip route 79.109.91.128 255.255.255.192 FastEthernet1/0 ip http server ip http authentication local ip http secure-server ! route-map provider-map permit 20 match ip address permitinternet match interface FastEthernet2/0 set default interface FastEthernet2/0
- Странности при простом пробросе порта, Дмитрий, 14:46 , 19-Май-10 (5)
Наконец понял Ваш конфиг. Если та информация которой я раполагаю верна, то или шашечки или ехать: >ip nat inside source static tcp 79.109.91.140 501 79.109.73.6 501 extendable no-alias А вот это зачем? Они же и так Connected. >ip route 79.109.73.0 255.255.255.240 FastEthernet1/0 >ip route 79.109.91.128 255.255.255.192 FastEthernet1/0
- Странности при простом пробросе порта, _RAW_, 14:57 , 19-Май-10 (7)
>Наконец понял Ваш конфиг. а вот тут поподробнее пожалуйста %) Получается никак низя заставить работать и коннект по правилу статик ната и прямой коннект? А есть ли варианты с глобальной реорганизацией чтобы это сработало? >Если та информация которой я раполагаю верна, то или шашечки или ехать: >>ip nat inside source static tcp 79.109.91.140 501 79.109.73.6 501 extendable no-alias >А вот это зачем? Они же и так Connected. >>ip route 79.109.73.0 255.255.255.240 FastEthernet1/0 >>ip route 79.109.91.128 255.255.255.192 FastEthernet1/0 Так ведь есть третий интерфейс который смотрит в LAN. 192.168.1.1 и подсеть у него 192.168.1.0/24. У локальных хостов то роутер 192.168.1.1, а без этих правил локальные хосты не пингуют хосты из сетей DMZ. к тому же в таблице маршрутизации они все равно фигурируют как Connected C 79.109.73.0/28 is directly connected, FastEthernet1/0 C 79.109.91.128/26 is directly connected, FastEthernet1/0
- Странности при простом пробросе порта, Дмитрий, 15:41 , 19-Май-10 (8)
>а вот тут поподробнее пожалуйста %) Получается никак низя заставить работать и >коннект по правилу статик ната и прямой коннект? >А есть ли варианты с глобальной реорганизацией чтобы это сработало? > >>Если та информация которой я раполагаю верна, то или шашечки или ехать: >>>ip nat inside source static tcp 79.109.91.140 501 79.109.73.6 501 extendable no-alias Насчет глобальной реорганизации - это очень серьезный шаг. А вот с натом есть такая странность в ИОСе... >[оверквотинг удален] >Так ведь есть третий интерфейс который смотрит в LAN. 192.168.1.1 и подсеть >у него 192.168.1.0/24. У локальных хостов то роутер 192.168.1.1, а без >этих правил локальные хосты не пингуют хосты из сетей DMZ. > >к тому же в таблице маршрутизации они все равно фигурируют как Connected > >C 79.109.73.0/28 is directly connected, FastEthernet1/0 > >C 79.109.91.128/26 is directly connected, FastEthernet1/0 > Правильно. У Connected метрика 0, у static 1. По моему эти 2 правила тут лишние. Но Вам виднее...
- Странности при простом пробросе порта, _RAW_, 15:48 , 19-Май-10 (9)
>Насчет глобальной реорганизации - это очень серьезный шаг. Самому не охота :) может удастся уговорить девелоперов обойти эту проблему не средствами сетевого отдела... >А вот с натом есть такая странность в ИОСе... как думаете, обновление версии иоса не поможет? у меня сейчас не самая свежая... C7200-JK9S-M 12.3(18) >Правильно. У Connected метрика 0, у static 1. По моему эти 2 >правила тут лишние. Но Вам виднее... Сам понимаю что вродь излишество, но без этих правил пакеты в сети не ходят. В принципе они никому не мешают, так что пущай остаются :)
- Странности при простом пробросе порта, Дмитрий, 16:01 , 19-Май-10 (10)
ИОС обновить это хорошее решение. Но... у Cisco иногда как у мелкомягких... Одно лечат, другое калечат. Так что будьте аккуратнее.
- Странности при простом пробросе порта, _RAW_, 16:09 , 19-Май-10 (11)
>ИОС обновить это хорошее решение. Но... у Cisco иногда как у мелкомягких... >Одно лечат, другое калечат. Так что будьте аккуратнее. Вот и думаю, если решения это не даст то не стоит. Сейчас посимулирую ситуацию на GNS3. С рабочими иосами.
- Странности при простом пробросе порта, _RAW_, 14:50 , 19-Май-10 (6)
>А Вы можете показать конфиг со всеми натами и всем, что к >ним относится? попробовал исключить из ната f1/0, тогда проброс совсем не работает, работает только прямой коннект. что в общем то закономерно... Вот как бы заставить работать и то и то... Попробовал проброс сделать с дмз интерфейса на внешний посредством айпишника и посредством указания интерфейса - один черт. Проброс работает, оригинал перестает. Грешил на то что пробрасывается все на том же самом интерфейсе, и источник и приемник, так нет... развел на разные интерфейсы - картина та же.
- Странности при простом пробросе порта, other, 10:41 , 20-Май-10 (12)
Приветствую!Интересно вообще у кого-то такое работает? Static NAT – Mapping an unregistered IP address to a registered IP address on a one-to-one basis. Может оно и не предполагает что внешний-внешний будет привязка и все ответные пакеты с порта 501 просто перезаписывает не пользуясь таблицей. А что кажет sh ip nat tra | i 79.109.91.140 (или какой там) Может стоит попробовать пробросить как в последнем посте тут http://www.certification.ru/cgi-bin/forum.cgi?action=thread&...
- Странности при простом пробросе порта, _RAW_, 16:46 , 20-Май-10 (13)
>Приветствую! > >Интересно вообще у кого-то такое работает? >Static NAT – Mapping an unregistered IP address to a registered IP >address on a one-to-one basis. >Может оно и не предполагает что внешний-внешний будет привязка и все ответные >пакеты с порта 501 >просто перезаписывает не пользуясь таблицей. >А что кажет sh ip nat tra | i 79.109.91.140 (или какой >там) а вот что. Пока пассивно и никого нету, показывает: tcp 79.109.73.6:501 79.109.91.140:501 --- --- как только пытаюсь из инета обращение сделать на хост который принимает соединения tcp 79.109.73.6:501 79.109.91.140:501 --- --- tcp 79.109.73.6:501 79.109.91.140:501 89.213.197.150:49462 89.213.197.150:49462 Если обращаюсь на хост на который пробрасывается порт - картинка не меняется: tcp 79.109.73.6:501 79.109.91.140:501 --- --- tcp 79.109.73.6:501 79.109.91.140:501 89.213.197.150:57879 89.213.197.150:57879 транзакции идентичные в обоих случаях, на какой бы я из хостов не обращался. >Может стоит попробовать пробросить как в последнем посте тут http://www.certification.ru/cgi-bin/forum.cgi?action=thread&... Через роутмапы то? попробую.
- Странности при простом пробросе порта, other, 17:16 , 20-Май-10 (14)
>[оверквотинг удален] > >tcp 79.109.73.6:501 79.109.91.140:501 > --- > --- >tcp 79.109.73.6:501 79.109.91.140:501 > 89.213.197.150:57879 89.213.197.150:57879 > >транзакции идентичные в обоих случаях, на какой бы я из хостов не >обращался. >А src порты то поменялись. А если обращаться на целевой хост, то строчки по идее не должно быть. А если она есть то она создается на обратном пакете(т.е. все ответы с 501-го порта целевого хоста просто переписываются). >>Может стоит попробовать пробросить как в последнем посте тут http://www.certification.ru/cgi-bin/forum.cgi?action=thread&... > >Через роутмапы то? попробую. не..., там ip nat inside destination..., последний пост.
- Странности при простом пробросе порта, _RAW_, 17:52 , 20-Май-10 (16)
>не..., там ip nat inside destination..., последний пост. Помоему заработало :) Во всяком случае телнеты на оба хоста проходят. Из дому завтра прогу попробую, которая на этом порту с нашим сервером работает. Если все ок, то решение вот оно. Спасибо %)
- Странности при простом пробросе порта, _RAW_, 17:46 , 20-Май-10 (15)
>Может стоит попробовать пробросить как в последнем посте тут http://www.certification.ru/cgi-bin/forum.cgi?action=thread&... Попробовал. Телнеты проходят на оба хоста, как бы работает... Завтра с утра из дому попробую запустить утилитку которая по этому порту с серваком работает, проверю все ли ок. Вот куск конфига: ip access-list extended portnat permit tcp any host 79.109.73.6 eq 501 ip nat pool poolnat 79.109.91.140 79.109.91.140 netmask 255.255.255.0 type rotary ip nat inside destination list portnat pool poolnat
- Странности при простом пробросе порта, Дмитрий, 17:54 , 20-Май-10 (17)
Народ это круто! Но это костыли... (((
- Странности при простом пробросе порта, other, 18:09 , 20-Май-10 (19)
>Народ это круто! Но это костыли... ((( Почему костыли? • Enabling translation of inside destination addresses ip nat inside destination { list <acl> pool <name> | static <global-ip> <local-ip> } This command is similar to the source translation command. For dynamic destination translation to make any sense, the pool should be a rotary-type pool. Вытащить например пассивный ftp наружу. А в этом случае просто один порт. Другое дело зачем так нужно...
- Странности при простом пробросе порта, _RAW_, 10:35 , 21-Май-10 (21)
>Вытащить например пассивный ftp наружу. А в этом случае просто один порт. >Другое дело зачем так нужно... Ну в моем случае есть огромная куча хостов которая коннектится к этому сервису на старом сервере. а у меня переезд на новую платформу в самом разгаре. И постепенно клиенты сменят хост на новый. но сервис на старом хосте уже остановлен. А таким образом я обеспечиваю безостановочность работы сервиса и плавную смену без перебоев с этим связанными.
- Странности при простом пробросе порта, _RAW_, 13:33 , 25-Май-10 (22)
Кстати в этом методе, равно как и в других, все равно не работает еще один варинт. Если попытаться коннектиться с хостов которые сами находятся на интерфейсах меченых как ip nat inside. У меня в моей конфигурации есть еще несколько интерфейсов - на локалку, на туннели, которые ip nat inside. Так вот с них коннект остался проблемным, но по другому. Тут не работает правило вовсе - коннект на новый хост есть, а коннект на хост который должен пробрасывать пакеты на новый - не работает...Решается это только если я выкидываю интерфейсы наружу роутинга дав им ip nat outside. но тогда другие косяки... в общем вопрос интересный %)
- Странности при простом пробросе порта, other, 17:56 , 20-Май-10 (18)
>ip nat pool poolnat 79.109.91.140 79.109.91.140 netmask 255.255.255.0 type rotary netmask только 255.255.255.192
- Странности при простом пробросе порта, _RAW_, 10:32 , 21-Май-10 (20)
>>ip nat pool poolnat 79.109.91.140 79.109.91.140 netmask 255.255.255.0 type rotary > >netmask только 255.255.255.192 А собственно почему 192? минимум можно 255.255.255.252 тут поставить. тут пул из 1 хоста, но маску 32 поставить нельзя. только 30. Здесь же вроде бы не обязательно маску ставить точно такую же, какая используется в определении рабочей подсети где идет наттинг. Насколько я помню маска пула и маска подсети это разные вещи.
|