- Броброс портов в NAT, shadow_alone, 10:21 , 30-Апр-11 (1)
на машине 192.168.50.12, шлюзом указать 192.168.50.1
- Броброс портов в NAT, Merridius, 23:40 , 30-Апр-11 (2)
> ip nat inside source static 192.168.50.12 212.12.240.240 extendable > разрешил все, хотя нужен будет тока 3389 ip nat inside source static tcp 192.168.50.12 3389 212.12.240.240 3389 таким образом вы пробросите порт tcp 3389 с хоста 192.168.50.12 на порт 3389 на вашем внешнем адресе. > ip nat inside source list rdp1 interface FastEthernet0/0 overload > ip access-list extended rdp1 > permit tcp any any > permit udp any any
с таким листом у вас не будет работать ничего, кроме tcp и udp трафика. permit ip 192.168.50.0 0.0.0.255 any сделайте такой АКЛ, чтобы разрешить натить любой ip трафик из сети 192.168.50.0/24 - Броброс портов в NAT, RodjerVilko, 10:13 , 04-Май-11 (3)
спасибо большое всем.еще не подскажите как разрешить доступ к внешнему ипу (interface FastEthernet0/0 ip address 212.12.240.240) только например 212.12.240.30 ip nat outside source list NET interface FastEthernet0/0 ip access-list extended NET permit ip host 212.12.240.30 host 212.12.240.240 deny ip any any не работает, да и просто deny ip any any не запрещает ничего
- Броброс портов в NAT, crash, 10:26 , 04-Май-11 (4)
> спасибо большое всем. > еще не подскажите как разрешить доступ к внешнему ипу > (interface FastEthernet0/0 ip address 212.12.240.240) > только например 212.12.240.30 > ip nat outside source list NET interface FastEthernet0/0 > ip access-list extended NET > permit ip host 212.12.240.30 host 212.12.240.240 > deny ip any any > не работает, да и просто deny ip any any не запрещает ничего Не понятно чего вы хотите, да и не понятно для чего вы натите внешние айпишники
- Броброс портов в NAT, RodjerVilko, 10:57 , 04-Май-11 (5)
>[оверквотинг удален] >> еще не подскажите как разрешить доступ к внешнему ипу >> (interface FastEthernet0/0 ip address 212.12.240.240) >> только например 212.12.240.30 >> ip nat outside source list NET interface FastEthernet0/0 >> ip access-list extended NET >> permit ip host 212.12.240.30 host 212.12.240.240 >> deny ip any any >> не работает, да и просто deny ip any any не запрещает ничего > Не понятно чего вы хотите, да и не понятно для чего > вы натите внешние айпишники я хочу ограничить доступ к внешнему порту (interface FastEthernet0/0) определенным диапазоном ip. (написал для примера разрешить только 212.12.240.30) ip nat INSIDE source list должен быть?
- Броброс портов в NAT, crash, 12:05 , 04-Май-11 (6)
>[оверквотинг удален] >>> ip nat outside source list NET interface FastEthernet0/0 >>> ip access-list extended NET >>> permit ip host 212.12.240.30 host 212.12.240.240 >>> deny ip any any >>> не работает, да и просто deny ip any any не запрещает ничего >> Не понятно чего вы хотите, да и не понятно для чего >> вы натите внешние айпишники > я хочу ограничить доступ к внешнему порту (interface FastEthernet0/0) > определенным диапазоном ip. (написал для примера разрешить только 212.12.240.30) > ip nat INSIDE source list должен быть?так вам надо не натить, а вешать access-list на входящий интерфейс, где вы разрешаете и что.
- Броброс портов в NAT, RodjerVilko, 13:11 , 04-Май-11 (7)
>[оверквотинг удален] >>>> permit ip host 212.12.240.30 host 212.12.240.240 >>>> deny ip any any >>>> не работает, да и просто deny ip any any не запрещает ничего >>> Не понятно чего вы хотите, да и не понятно для чего >>> вы натите внешние айпишники >> я хочу ограничить доступ к внешнему порту (interface FastEthernet0/0) >> определенным диапазоном ip. (написал для примера разрешить только 212.12.240.30) >> ip nat INSIDE source list должен быть? > так вам надо не натить, а вешать access-list на входящий интерфейс, где > вы разрешаете и что.т.е. вот так только? interface FastEthernet0/0 ip access-group 100 in access-list 100 permit tcp host 212.12.240.30 host 212.12.240.240 eq 3389
- Броброс портов в NAT, crash, 14:02 , 04-Май-11 (8)
> т.е. вот так только? > interface FastEthernet0/0 > ip access-group 100 in > access-list 100 permit tcp host 212.12.240.30 host 212.12.240.240 eq 3389 да, но надо понимать что вы закрываете все остальное. Поэтому вам надо например потом сделать access-list 100 deny tcp any host 212.12.240.240 eq 3389 access-list 100 permit ip any host 212.12.240.240 или как вариант настрить на cisco cbaq, тогда на интеерфейсе надо будет настраивать в access-list'е только то кому разрешаете доступ из вне.
- Броброс портов в NAT, RodjerVilko, 15:00 , 04-Май-11 (9)
>> т.е. вот так только? >> interface FastEthernet0/0 >> ip access-group 100 in >> access-list 100 permit tcp host 212.12.240.30 host 212.12.240.240 eq 3389 > да, но надо понимать что вы закрываете все остальное. Поэтому вам надо > например потом сделать > access-list 100 deny tcp any host 212.12.240.240 eq 3389 > access-list 100 permit ip any host 212.12.240.240 > или как вариант настрить на cisco cbaq, тогда на интеерфейсе надо будет > настраивать в access-list'е только то кому разрешаете доступ из вне.да, я понимаю, мне и нужно разрешить доступ только из одной подсети 212.12.240.0 255.255.255.0 access-list 100 permit tcp 212.12.240.0 0.255.255.255 any eq 3389
- Броброс портов в NAT, RodjerVilko, 15:20 , 11-Май-11 (10)
Допишу сюда.не могу разобраться с acces-list внешнйи интерфейс Interface FastEthernet 0/1 ip addres 212.12.240.240 ip nat outside ip access-group NET in внутренний Interface FastEthernet 0/0 ip addres 192.168.50.5 ip nat inside ip nat inside source list LOC interface FastEthernet 0/1 overload ip access-list extended LOC permit ip 192.168.50.0 0.255.255.255 any хочу разрешить проброс и доступ только к 21 порту (192.168.5.21) ip nat inside source static tcp 192.168.50.21 21 212.12.240.240 21 extendable ip nat inside source static tcp 192.168.50.21 20 212.12.240.240 20 extendable ip access-list extended NET попробовал так permit tcp 212.12.0.0 0.0.255.255 eq ftp host 192.168.50.21 eq ftp не вышло, в show ip nat translations увидел, что ломятся с совсем других портов (ЭТО как??) сделал так permit tcp 212.12.0.0 0.0.255.255 host 192.168.50.21 eq ftp не получилось и добавил permit tcp 212.12.0.0 0.0.255.255 host 212.12.240.240 eq ftp пропускает, но в пассивном режиме. более-менее работает при permit tcp 212.12.0.0 0.0.255.255 any но тормозит и низкая скорость. что не так делаю?
- Броброс портов в NAT, crash, 14:02 , 12-Май-11 (11)
> ip nat inside source static tcp 192.168.50.21 21 212.12.240.240 21 extendable > ip nat inside source static tcp 192.168.50.21 20 212.12.240.240 20 extendable > ip access-list extended NET > попробовал так > permit tcp 212.12.0.0 0.0.255.255 eq ftp host 192.168.50.21 eq ftp > не вышло, в show ip nat translations увидел, что ломятся с совсем > других портов (ЭТО как??) Кто вам сказал что клиент должен ломиться с 20 или с 21 порта? клиент будет ломиться с 1024 например.
- Броброс портов в NAT, RodjerVilko, 15:15 , 12-Май-11 (12)
>> ip nat inside source static tcp 192.168.50.21 21 212.12.240.240 21 extendable >> ip nat inside source static tcp 192.168.50.21 20 212.12.240.240 20 extendable >> ip access-list extended NET >> попробовал так >> permit tcp 212.12.0.0 0.0.255.255 eq ftp host 192.168.50.21 eq ftp >> не вышло, в show ip nat translations увидел, что ломятся с совсем >> других портов (ЭТО как??) > Кто вам сказал что клиент должен ломиться с 20 или с 21 > порта? клиент будет ломиться с 1024 например.да, уже ошибку понял. Спасибо большое
|