- Броброс портов в NAT,
 shadow_alone, 10:21 , 30-Апр-11 (1)на машине 192.168.50.12, шлюзом указать 192.168.50.1
- Броброс портов в NAT, Merridius, 23:40 , 30-Апр-11 (2)
> ip nat inside source static 192.168.50.12 212.12.240.240 extendable
> разрешил все, хотя нужен будет тока 3389 ip nat inside source static tcp 192.168.50.12 3389 212.12.240.240 3389
таким образом вы пробросите порт tcp 3389 с хоста 192.168.50.12 на порт 3389 на вашем внешнем адресе.
> ip nat inside source list rdp1 interface FastEthernet0/0 overload
> ip access-list extended rdp1
> permit tcp any any
> permit udp any any
с таким листом у вас не будет работать ничего, кроме tcp и udp трафика.
permit ip 192.168.50.0 0.0.0.255 any
сделайте такой АКЛ, чтобы разрешить натить любой ip трафик из сети 192.168.50.0/24 - Броброс портов в NAT, RodjerVilko, 10:13 , 04-Май-11 (3)
спасибо большое всем.еще не подскажите как разрешить доступ к внешнему ипу
(interface FastEthernet0/0 ip address 212.12.240.240)
только например 212.12.240.30
ip nat outside source list NET interface FastEthernet0/0
ip access-list extended NET
permit ip host 212.12.240.30 host 212.12.240.240
deny ip any any
не работает, да и просто deny ip any any не запрещает ничего
- Броброс портов в NAT, crash, 10:26 , 04-Май-11 (4)
> спасибо большое всем.
> еще не подскажите как разрешить доступ к внешнему ипу
> (interface FastEthernet0/0 ip address 212.12.240.240)
> только например 212.12.240.30
> ip nat outside source list NET interface FastEthernet0/0
> ip access-list extended NET
> permit ip host 212.12.240.30 host 212.12.240.240
> deny ip any any
> не работает, да и просто deny ip any any не запрещает ничего Не понятно чего вы хотите, да и не понятно для чего вы натите внешние айпишники
- Броброс портов в NAT, RodjerVilko, 10:57 , 04-Май-11 (5)
>[оверквотинг удален]
>> еще не подскажите как разрешить доступ к внешнему ипу
>> (interface FastEthernet0/0 ip address 212.12.240.240)
>> только например 212.12.240.30
>> ip nat outside source list NET interface FastEthernet0/0
>> ip access-list extended NET
>> permit ip host 212.12.240.30 host 212.12.240.240
>> deny ip any any
>> не работает, да и просто deny ip any any не запрещает ничего
> Не понятно чего вы хотите, да и не понятно для чего
> вы натите внешние айпишники я хочу ограничить доступ к внешнему порту (interface FastEthernet0/0)
определенным диапазоном ip. (написал для примера разрешить только 212.12.240.30)
ip nat INSIDE source list должен быть?
- Броброс портов в NAT, crash, 12:05 , 04-Май-11 (6)
>[оверквотинг удален]
>>> ip nat outside source list NET interface FastEthernet0/0
>>> ip access-list extended NET
>>> permit ip host 212.12.240.30 host 212.12.240.240
>>> deny ip any any
>>> не работает, да и просто deny ip any any не запрещает ничего
>> Не понятно чего вы хотите, да и не понятно для чего
>> вы натите внешние айпишники
> я хочу ограничить доступ к внешнему порту (interface FastEthernet0/0)
> определенным диапазоном ip. (написал для примера разрешить только 212.12.240.30)
> ip nat INSIDE source list должен быть?так вам надо не натить, а вешать access-list на входящий интерфейс, где вы разрешаете и что.
- Броброс портов в NAT, RodjerVilko, 13:11 , 04-Май-11 (7)
>[оверквотинг удален]
>>>> permit ip host 212.12.240.30 host 212.12.240.240
>>>> deny ip any any
>>>> не работает, да и просто deny ip any any не запрещает ничего
>>> Не понятно чего вы хотите, да и не понятно для чего
>>> вы натите внешние айпишники
>> я хочу ограничить доступ к внешнему порту (interface FastEthernet0/0)
>> определенным диапазоном ip. (написал для примера разрешить только 212.12.240.30)
>> ip nat INSIDE source list должен быть?
> так вам надо не натить, а вешать access-list на входящий интерфейс, где
> вы разрешаете и что.т.е. вот так только?
interface FastEthernet0/0
ip access-group 100 in access-list 100 permit tcp host 212.12.240.30 host 212.12.240.240 eq 3389
- Броброс портов в NAT, crash, 14:02 , 04-Май-11 (8)
> т.е. вот так только?
> interface FastEthernet0/0
> ip access-group 100 in
> access-list 100 permit tcp host 212.12.240.30 host 212.12.240.240 eq 3389 да, но надо понимать что вы закрываете все остальное. Поэтому вам надо например потом сделать
access-list 100 deny tcp any host 212.12.240.240 eq 3389
access-list 100 permit ip any host 212.12.240.240
или как вариант настрить на cisco cbaq, тогда на интеерфейсе надо будет настраивать в access-list'е только то кому разрешаете доступ из вне.
- Броброс портов в NAT, RodjerVilko, 15:00 , 04-Май-11 (9)
>> т.е. вот так только?
>> interface FastEthernet0/0
>> ip access-group 100 in
>> access-list 100 permit tcp host 212.12.240.30 host 212.12.240.240 eq 3389
> да, но надо понимать что вы закрываете все остальное. Поэтому вам надо
> например потом сделать
> access-list 100 deny tcp any host 212.12.240.240 eq 3389
> access-list 100 permit ip any host 212.12.240.240
> или как вариант настрить на cisco cbaq, тогда на интеерфейсе надо будет
> настраивать в access-list'е только то кому разрешаете доступ из вне.да, я понимаю, мне и нужно разрешить доступ только из одной подсети 212.12.240.0 255.255.255.0
access-list 100 permit tcp 212.12.240.0 0.255.255.255 any eq 3389
- Броброс портов в NAT, RodjerVilko, 15:20 , 11-Май-11 (10)
Допишу сюда.не могу разобраться с acces-list внешнйи интерфейс Interface FastEthernet 0/1
ip addres 212.12.240.240
ip nat outside
ip access-group NET in внутренний Interface FastEthernet 0/0
ip addres 192.168.50.5
ip nat inside ip nat inside source list LOC interface FastEthernet 0/1 overload
ip access-list extended LOC
permit ip 192.168.50.0 0.255.255.255 any хочу разрешить проброс и доступ только к 21 порту (192.168.5.21) ip nat inside source static tcp 192.168.50.21 21 212.12.240.240 21 extendable
ip nat inside source static tcp 192.168.50.21 20 212.12.240.240 20 extendable
ip access-list extended NET
попробовал так
permit tcp 212.12.0.0 0.0.255.255 eq ftp host 192.168.50.21 eq ftp
не вышло, в show ip nat translations увидел, что ломятся с совсем других портов (ЭТО как??) сделал так
permit tcp 212.12.0.0 0.0.255.255 host 192.168.50.21 eq ftp не получилось и добавил permit tcp 212.12.0.0 0.0.255.255 host 212.12.240.240 eq ftp пропускает, но в пассивном режиме. более-менее работает при permit tcp 212.12.0.0 0.0.255.255 any но тормозит и низкая скорость.
что не так делаю?
- Броброс портов в NAT, crash, 14:02 , 12-Май-11 (11)
> ip nat inside source static tcp 192.168.50.21 21 212.12.240.240 21 extendable
> ip nat inside source static tcp 192.168.50.21 20 212.12.240.240 20 extendable
> ip access-list extended NET
> попробовал так
> permit tcp 212.12.0.0 0.0.255.255 eq ftp host 192.168.50.21 eq ftp
> не вышло, в show ip nat translations увидел, что ломятся с совсем
> других портов (ЭТО как??) Кто вам сказал что клиент должен ломиться с 20 или с 21 порта? клиент будет ломиться с 1024 например.
- Броброс портов в NAT, RodjerVilko, 15:15 , 12-Май-11 (12)
>> ip nat inside source static tcp 192.168.50.21 21 212.12.240.240 21 extendable
>> ip nat inside source static tcp 192.168.50.21 20 212.12.240.240 20 extendable
>> ip access-list extended NET
>> попробовал так
>> permit tcp 212.12.0.0 0.0.255.255 eq ftp host 192.168.50.21 eq ftp
>> не вышло, в show ip nat translations увидел, что ломятся с совсем
>> других портов (ЭТО как??)
> Кто вам сказал что клиент должен ломиться с 20 или с 21
> порта? клиент будет ломиться с 1024 например.да, уже ошибку понял. Спасибо большое
|
Версия для распечатки
Броброс портов в NAT, 
