- Листы доступа для WWW и DNS серверов в локальной сети,
 Volume, 15:55 , 20-Май-04 (1)>Помогите плз. настроить правельное прохождение запросов на Веб и ДНС сервера внути
>локалки.
>Есть cisco 2651XM на ней поднят ADSL к провайдеру c адресом 95,15,15,10
>на FastEthernete0/1 подключина локалка с адресом 192,168,11,1.
>
>Web и DNS серверы стоят на 192,168,11,2.
>
>Заранее благодарен жду ответа.
покажите как вы настраиваете, а мы поправим :)
- Листы доступа для WWW и DNS серверов в локальной сети, Kan, 16:08 , 20-Май-04 (2)
Вот кусок конфига смысл в том что я не могу заставить что-бы cisco пересылала DNS и WWW запросы c внешнего интерфейса в локалку.interface FastEthernet0/1
ip address 192.168.11.1 255.255.255.0
ip access-group 102 in
ip nat inside
duplex auto
speed auto
no cdp enable
!
interface Dialer0
ip address 95,15,15,10 255.255.255.255
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
encapsulation ppp
no ip route-cache
no ip mroute-cache
dialer pool 10
dialer-group 10
no cdp enable
ppp authentication pap callin
ppp pap sent-username XXXXXXXX password XXXXXXXXXX
!
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.11.2 80 95,15,15,10 80 extendable
ip nat inside source static udp 192.168.11.2 53 95,15,15,10 53 extendable
ip http server
ip http access-class 2
ip classless
no ip route static inter-vrf
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
access-list 1 permit 192.168.11.0 0.0.0.255
access-list 2 permit 192.168.11.2
access-list 102 permit ip 192.168.11.0 0.0.0.255 any
access-list 102 deny ip any any log
dialer-list 10 protocol ip permit
- Листы доступа для WWW и DNS серверов в локальной сети, ВОЛКА, 16:22 , 20-Май-04 (3)
а инет у вас нормально работает?покажите
conf t
ip nat inside source static tcp 192.168.11.2 80 ?
- Листы доступа для WWW и DNS серверов в локальной сети, ВОЛКА, 17:09 , 20-Май-04 (6)
прошу вас показать выпод следующих команд... чего непонятно?
"conf t"
"ip nat inside source static tcp 192.168.11.2 80 ?"
- Листы доступа для WWW и DNS серверов в локальной сети, Kan, 17:25 , 20-Май-04 (7)
>прошу вас показать выпод следующих команд... чего непонятно?
>"conf t"
>"ip nat inside source static tcp 192.168.11.2 80 ?"
A.B.C.D Inside global IP address
interface Specify interface for global address
2651XM(config)#ip nat inside source static tcp 192.168.11.2 80
- Листы доступа для WWW и DNS серверов в локальной сети, ВОЛКА, 17:45 , 20-Май-04 (8)
а теперь если попробовать так
conf t
ip nat inside source static tcp 192.168.11.2 80 int Dialer0 80
end
clear ip nat tr *
- Листы доступа для WWW и DNS серверов в локальной сети, Kan, 18:01 , 20-Май-04 (9)
- Листы доступа для WWW и DNS серверов в локальной сети, ВОЛКА, 18:19 , 20-Май-04 (10)
- Листы доступа для WWW и DNS серверов в локальной сети, Kan, 18:29 , 20-Май-04 (11)
Захожу на свой свыйт чарез другой независимый канал.
Хотя сегодня меня в ДНСах перепрописывают может еще не оновиласись сервера. Я захажу по адресу.
- Листы доступа для WWW и DNS серверов в локальной сети, ВОЛКА, 18:37 , 20-Май-04 (12)
такая конфигурация должно работать...
term mon
deb ip nat tr ...
- Листы доступа для WWW и DNS серверов в локальной сети, Kan, 19:19 , 20-Май-04 (13)
>такая конфигурация должно работать...
>term mon
>deb ip nat tr ..
Что с этим делать???
- Листы доступа для WWW и DNS серверов в локальной сети, ВОЛКА, 23:11 , 20-Май-04 (14)
- Листы доступа для WWW и DNS серверов в локальной сети, Kan, 13:25 , 21-Май-04 (15)
>анализировать...
Еще раз добрый день!
Полсе команды 2651XM#show ip nat translation
Pro Inside global Inside local Outside local Outside global
tcp 95.15.15.10:25 192.168.11.2:25 --- ---
udp 95.15.15.10:53 192.168.11.2:53 --- ---
tcp 95.15.15.10:80 192.168.11.2:80 --- ---
tcp 95.15.15.10:110 192.168.11.2:110 --- ---
tcp 95.15.15.10:443 192.168.11.2:443 --- --- Вижу такую картину. Я так понимаю что ciscо готова принимать входящие соединения на эти порты и предать их адресу 192,168,11,2. Однако при сканировании внешних портов сканер показывает что они закрыты.
Я так понимаю нужно применить Access Listы или по умолчанию она пропускают воходящии пакеты на внешний порт!!!
- Листы доступа для WWW и DNS серверов в локальной сети, Kan, 16:59 , 20-Май-04 (4)
Инет работатет нормально!Вы простите я не понял что инменно показать?
- Листы доступа для WWW и DNS серверов в локальной сети, Kan, 13:27 , 21-Май-04 (16)
Еще раз добрый день!
Полсе команды
2651XM#show ip nat translation
Pro Inside global Inside local Outside local Outside global
tcp 95.15.15.10:25 192.168.11.2:25 --- ---
udp 95.15.15.10:53 192.168.11.2:53 --- ---
tcp 95.15.15.10:80 192.168.11.2:80 --- ---
tcp 95.15.15.10:110 192.168.11.2:110 --- ---
tcp 95.15.15.10:443 192.168.11.2:443 --- --- Вижу такую картину. Я так понимаю что ciscо готова принимать входящие соединения на эти порты и предать их адресу 192,168,11,2. Однако при сканировании внешних портов сканер показывает что они закрыты.
Я так понимаю нужно применить Access Listы или по умолчанию она пропускают воходящии пакеты на внешний порт!!!
- Листы доступа для WWW и DNS серверов в локальной сети, ВОЛКА, 14:03 , 21-Май-04 (17)
вместо acl 1 используйте расширенный список доступа...
- Листы доступа для WWW и DNS серверов в локальной сети, Kan, 14:33 , 21-Май-04 (18)
>вместо acl 1 используйте расширенный список доступа... Разрешение на какие протоколы и порты а так-же подсети должен включать в себя расширенный список?
- Листы доступа для WWW и DNS серверов в локальной сети, ВОЛКА, 14:54 , 21-Май-04 (19)
нет просто access-list 100 ip ваша_сеть ваша_маска any
и сделать еще раз
clear ip nat tr * потом включить дебаг
и просканировать ваши сервисы...
что покажет дебаг?
- Листы доступа для WWW и DNS серверов в локальной сети, Kan, 16:30 , 21-Май-04 (20)
>нет просто
>
>access-list 100 ip ваша_сеть ваша_маска any
>и сделать еще раз
>clear ip nat tr *
>
>потом включить дебаг
>и просканировать ваши сервисы...
>что покажет дебаг? access-list 102 permit ip 192.168.11.0 0.0.0.255 any ip nat inside source list 102 int Dialer0 overload IP NAT PORT debugging is on
2651XM#
00:08:13: %SEC-6-IPACCESSLOGDP: list 102 denied icmp 95.15.15.10 -> 80.92.19
6.50 (0/0), 1 packet
00:09:03: %SEC-6-IPACCESSLOGDP: list 102 denied icmp 95.15.15.10 -> 212.154.
102.2 (0/0), 1 packet
Вот что получилось!
- Листы доступа для WWW и DNS серверов в локальной сети, ВОЛКА, 17:49 , 21-Май-04 (21)
да где видно, что к вам пакеты прилетают...
и при чем тут пинг?покажите текущий конфиг..
- Листы доступа для WWW и DNS серверов в локальной сети, Kan, 14:10 , 24-Май-04 (22)
>да где видно, что к вам пакеты прилетают...
>и при чем тут пинг?
>
>покажите текущий конфиг..
Прошу прощение за молчание были выходные.
Вот конфиг.
Building configuration...
Current configuration : 2296 bytes
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname 2651XM
!
boot-start-marker
boot-end-marker
!
enable secret 5
enable password
!
memory-size iomem 50
no aaa new-model
ip subnet-zero
!
!
ip name-server ZZZZZZZZZZZZZZZZ
ip name-server YYYYYYYYYYYYYYYY
!
!
!
!
!
!
!
!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
atm slm statistics
!
!
!
!
interface ATM0/0
no ip address
no ip mroute-cache
no atm ilmi-keepalive
pvc 0/33
encapsulation aal5mux ppp dialer
dialer pool-member 10
!
dsl operating-mode auto
!
interface FastEthernet0/0
ip address 192.168.0.104 255.255.255.0
duplex auto
speed auto
no cdp enable
!
interface Serial0/0
no ip address
shutdown
no fair-queue
no cdp enable
!
interface FastEthernet0/1
ip address 192.168.11.1 255.255.255.0
ip nat inside
duplex auto
speed auto
no cdp enable
!
interface Serial0/1
no ip address
shutdown
no cdp enable
!
interface Dialer0
ip address 95.15.15.10 255.255.255.255
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
encapsulation ppp
no ip route-cache
no ip mroute-cache
dialer pool 10
dialer-group 10
no cdp enable
ppp authentication pap callin
ppp pap sent-username XXXXXXXX password 0 YYYYYYYYY
!
ip nat inside source list 102 interface Dialer0 overload
ip nat inside source static tcp 192.168.11.2 443 interface Dialer0 443
ip nat inside source static tcp 192.168.11.2 110 interface Dialer0 110
ip nat inside source static tcp 192.168.11.2 25 interface Dialer0 25
ip nat inside source static udp 192.168.11.2 53 interface Dialer0 53
ip nat inside source static tcp 192.168.11.2 80 interface Dialer0 80
ip http server
ip http access-class 2
ip classless
no ip route static inter-vrf
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
access-list 2 permit 192.168.11.2
access-list 102 permit ip 192.168.11.0 0.0.0.255 any
access-list 102 deny ip any any log
access-list 103 permit ip any any log
dialer-list 10 protocol ip permit
no cdp run
!
snmp-server community RW 2
snmp-server enable traps tty
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
password
login
line aux 0
line vty 0 4
session-timeout 60 output
access-class 102 in
password
login
!
!
!
end
|
Версия для распечатки
Листы доступа для WWW и DNS серверов в локальной сети, 
