форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Static Nat"

Сообщение от Гость on 28-Апр-06, 11:22

Доброго всем времени суток. Извините заранее, тема конечно избитая, но не могу все-таки разобраться... Сиуация такая: есть Циска на ней настроен ПАТ (машины из локалки выходят в инет через 1 белый ИП). Потребовалось настроить доступ извне к 1 серверу по некоторым портам... вот что у меня есть interface Ethernet0/0 ip address ааа.ббб.ввв.4 255.255.255.240 ip nat outside full-duplex ! interface Ethernet0/1 ip address 192.168.10.1 255.255.255.0 ip nat inside full-duplex ! ip nat inside source list 10 interface Ethernet0/0 overload ip nat inside source static tcp 192.168.10.156 3389 ааа.ббб.ввв.4 3389 extendable no-alias ip nat inside source static tcp 192.168.10.156 20 ааа.ббб.ввв.4 20 extendable no-alias ip nat inside source static tcp 192.168.10.156 21 ааа.ббб.ввв.4 21 extendable no-alias ip classless ip route 0.0.0.0 0.0.0.0 ааа.ббб.ввв.1 no ip http server ! access-list 10 permit 192.168.10.0 0.0.0.255 ! но это не работает... т.е. не получается дать доступ из инета к серваку... Уважаемые Гуру подскажите в чем грабли? Заранее спасибо

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "Static Nat"

Сообщение от zzz (??) on 28-Апр-06, 11:47

>Доброго всем времени суток. >Извините заранее, тема конечно избитая, но не могу все-таки разобраться... >Сиуация такая: есть Циска на ней настроен ПАТ (машины из локалки выходят >в инет через 1 белый ИП). >Потребовалось настроить доступ извне к 1 серверу по некоторым портам... вот что >у меня есть > >interface Ethernet0/0 > ip address ааа.ббб.ввв.4 255.255.255.240 > ip nat outside > full-duplex > >! >interface Ethernet0/1 > ip address 192.168.10.1 255.255.255.0 > ip nat inside > full-duplex >! >ip nat inside source list 10 interface Ethernet0/0 overload >ip nat inside source static tcp 192.168.10.156 3389 ааа.ббб.ввв.4 3389 extendable no-alias > >ip nat inside source static tcp 192.168.10.156 20 ааа.ббб.ввв.4 20 extendable no-alias > >ip nat inside source static tcp 192.168.10.156 21 ааа.ббб.ввв.4 21 extendable no-alias > >ip classless >ip route 0.0.0.0 0.0.0.0 ааа.ббб.ввв.1 >no ip http server >! >access-list 10 permit 192.168.10.0 0.0.0.255 >! > >но это не работает... т.е. не получается дать доступ из инета к >серваку... >Уважаемые Гуру подскажите в чем грабли? >Заранее спасибо посмотрите тут, должно работать... http://www.cisco.com/en/US/tech/tk175/tk15/technologies_configuration_example09186a0080093e51.shtml

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Static Nat"

Сообщение от StSphinx (??) on 28-Апр-06, 12:02

>Доброго всем времени суток. >Извините заранее, тема конечно избитая, но не могу все-таки разобраться... >Сиуация такая: есть Циска на ней настроен ПАТ (машины из локалки выходят >в инет через 1 белый ИП). >Потребовалось настроить доступ извне к 1 серверу по некоторым портам... вот что >у меня есть > >interface Ethernet0/0 > ip address ааа.ббб.ввв.4 255.255.255.240 > ip nat outside > full-duplex > >! >interface Ethernet0/1 > ip address 192.168.10.1 255.255.255.0 > ip nat inside > full-duplex >! >ip nat inside source list 10 interface Ethernet0/0 overload >ip nat inside source static tcp 192.168.10.156 3389 ааа.ббб.ввв.4 3389 extendable no-alias > >ip nat inside source static tcp 192.168.10.156 20 ааа.ббб.ввв.4 20 extendable no-alias > >ip nat inside source static tcp 192.168.10.156 21 ааа.ббб.ввв.4 21 extendable no-alias > >ip classless >ip route 0.0.0.0 0.0.0.0 ааа.ббб.ввв.1 >no ip http server >! >access-list 10 permit 192.168.10.0 0.0.0.255 >! > >но это не работает... т.е. не получается дать доступ из инета к >серваку... >Уважаемые Гуру подскажите в чем грабли? >Заранее спасибо Попробуйте вот так: ip nat inside source static tcp INSIDE_IP 3389 interface OUTSIDE_IFACE 3389 то есть, вместо IP указать интерфейс. INSIDE_IP - соотв. ip сервера который вы публикуете OUSIDE_IFACE - интерфейс который смотрит в сторону провайдера ЗЫ: Что-то мне сдается, что мы с вами на эту тему уже беседовали не так давно. :)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	3. "Static Nat"
	Сообщение от Гость on 28-Апр-06, 12:14
	>>Доброго всем времени суток. >>Извините заранее, тема конечно избитая, но не могу все-таки разобраться... >>Сиуация такая: есть Циска на ней настроен ПАТ (машины из локалки выходят >>в инет через 1 белый ИП). >>Потребовалось настроить доступ извне к 1 серверу по некоторым портам... вот что >>у меня есть >> >>interface Ethernet0/0 >> ip address ааа.ббб.ввв.4 255.255.255.240 >> ip nat outside >> full-duplex >> >>! >>interface Ethernet0/1 >> ip address 192.168.10.1 255.255.255.0 >> ip nat inside >> full-duplex >>! >>ip nat inside source list 10 interface Ethernet0/0 overload >>ip nat inside source static tcp 192.168.10.156 3389 ааа.ббб.ввв.4 3389 extendable no-alias >> >>ip nat inside source static tcp 192.168.10.156 20 ааа.ббб.ввв.4 20 extendable no-alias >> >>ip nat inside source static tcp 192.168.10.156 21 ааа.ббб.ввв.4 21 extendable no-alias >> >>ip classless >>ip route 0.0.0.0 0.0.0.0 ааа.ббб.ввв.1 >>no ip http server >>! >>access-list 10 permit 192.168.10.0 0.0.0.255 >>! >> >>но это не работает... т.е. не получается дать доступ из инета к >>серваку... >>Уважаемые Гуру подскажите в чем грабли? >>Заранее спасибо > > >Попробуйте вот так: >ip nat inside source static tcp INSIDE_IP 3389 interface OUTSIDE_IFACE 3389 >то есть, вместо IP указать интерфейс. >INSIDE_IP - соотв. ip сервера который вы публикуете >OUSIDE_IFACE - интерфейс который смотрит в сторону провайдера >ЗЫ: Что-то мне сдается, что мы с вами на эту тему уже >беседовали не так давно. :) спасибо, но не помогло ! ip nat inside source list 10 interface Ethernet0/0 overload ip nat inside source static tcp 192.168.10.156 3389 interface Ethernet0/0 3389 ip nat inside source static tcp 192.168.10.156 21 interface Ethernet0/0 21 ip nat inside source static tcp 192.168.10.156 20 interface Ethernet0/0 20 ip classless ip route 0.0.0.0 0.0.0.0 ааа.ббб.ввв.1 no ip http server ! а по поводу беседы =) не припомню Вашего ника
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	4. "Static Nat"
	Сообщение от StSphinx (??) on 28-Апр-06, 13:29
	>>>Доброго всем времени суток. >>>Извините заранее, тема конечно избитая, но не могу все-таки разобраться... >>>Сиуация такая: есть Циска на ней настроен ПАТ (машины из локалки выходят >>>в инет через 1 белый ИП). >>>Потребовалось настроить доступ извне к 1 серверу по некоторым портам... вот что >>>у меня есть >>> >>>interface Ethernet0/0 >>> ip address ааа.ббб.ввв.4 255.255.255.240 >>> ip nat outside >>> full-duplex >>> >>>! >>>interface Ethernet0/1 >>> ip address 192.168.10.1 255.255.255.0 >>> ip nat inside >>> full-duplex >>>! >>>ip nat inside source list 10 interface Ethernet0/0 overload >>>ip nat inside source static tcp 192.168.10.156 3389 ааа.ббб.ввв.4 3389 extendable no-alias >>> >>>ip nat inside source static tcp 192.168.10.156 20 ааа.ббб.ввв.4 20 extendable no-alias >>> >>>ip nat inside source static tcp 192.168.10.156 21 ааа.ббб.ввв.4 21 extendable no-alias >>> >>>ip classless >>>ip route 0.0.0.0 0.0.0.0 ааа.ббб.ввв.1 >>>no ip http server >>>! >>>access-list 10 permit 192.168.10.0 0.0.0.255 >>>! >>> >>>но это не работает... т.е. не получается дать доступ из инета к >>>серваку... >>>Уважаемые Гуру подскажите в чем грабли? >>>Заранее спасибо >> >> >>Попробуйте вот так: >>ip nat inside source static tcp INSIDE_IP 3389 interface OUTSIDE_IFACE 3389 >>то есть, вместо IP указать интерфейс. >>INSIDE_IP - соотв. ip сервера который вы публикуете >>OUSIDE_IFACE - интерфейс который смотрит в сторону провайдера >>ЗЫ: Что-то мне сдается, что мы с вами на эту тему уже >>беседовали не так давно. :) > > >спасибо, но не помогло >! >ip nat inside source list 10 interface Ethernet0/0 overload >ip nat inside source static tcp 192.168.10.156 3389 interface Ethernet0/0 3389 >ip nat inside source static tcp 192.168.10.156 21 interface Ethernet0/0 21 >ip nat inside source static tcp 192.168.10.156 20 interface Ethernet0/0 20 >ip classless >ip route 0.0.0.0 0.0.0.0 ааа.ббб.ввв.1 >no ip http server >! >а по поводу беседы =) не припомню Вашего ника Мой ник - 335156 ;) Если это вам ни о чем не говорит значит не обращайте внимание... Роутинг прописан на публикуемых серверах?
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	5. "Static Nat"
	Сообщение от StSphinx (??) on 28-Апр-06, 13:46
	Кстати, show ip nat translation что говорит?
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	6. "Static Nat"
	Сообщение от Гость on 28-Апр-06, 14:10
	>Кстати, >show ip nat translation >что говорит? Pro Inside global      Inside local       Outside local      Outside global tcp ааа.ббб.ввв.4:3389   192.168.10.156:3389 ---               --- tcp ааа.ббб.ввв.4:20     192.168.10.156:20  ---                --- tcp ааа.ббб.ввв.4:21     192.168.10.156:21  ---                --- ну еще динамические трансляции изнутри наружу
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	7. "Static Nat"
	Сообщение от StSphinx (??) on 28-Апр-06, 14:23
	>>Кстати, >>show ip nat translation >>что говорит? > >Pro Inside global      Inside local   >    Outside local       >Outside global >tcp ааа.ббб.ввв.4:3389   192.168.10.156:3389 ---       >        --- >tcp ааа.ббб.ввв.4:20     192.168.10.156:20  ---     >           > --- >tcp ааа.ббб.ввв.4:21     192.168.10.156:21  ---     >           > --- >ну еще динамические трансляции изнутри наружу Нормальная трансляция, все должно работать. Так роутинг на публикуемых серверах прописан? И как насчет списков доступа в циске, не режут ли они? И не режет ли фаервол на самих серверах?
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	8. "Static Nat"
	Сообщение от Гость on 28-Апр-06, 15:03
	>>>Кстати, >>>show ip nat translation >>>что говорит? >> >>Pro Inside global      Inside local   >>    Outside local       >>Outside global >>tcp ааа.ббб.ввв.4:3389   192.168.10.156:3389 ---       >>        --- >>tcp ааа.ббб.ввв.4:20     192.168.10.156:20  ---     >>           >> --- >>tcp ааа.ббб.ввв.4:21     192.168.10.156:21  ---     >>           >> --- >>ну еще динамические трансляции изнутри наружу > >Нормальная трансляция, все должно работать. >Так роутинг на публикуемых серверах прописан? >И как насчет списков доступа в циске, не режут ли они? >И не режет ли фаервол на самих серверах? на сервере шлюз по усолчанию стоит ! interface Ethernet0/1 ip address 192.168.10.1 255.255.255.0 ip nat inside full-duplex , список доступа только 1 ! access-list 10 permit 192.168.10.0 0.0.0.255 access-list 10 permit 192.168.1.0 0.0.0.255 ! фаервол на серверах не должен ничего резать... я уже не знаю что и предположить...
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	9. "Static Nat"
	Сообщение от StSphinx (??) on 28-Апр-06, 15:16
	>>>>Кстати, >>>>show ip nat translation >>>>что говорит? >>> >>>Pro Inside global      Inside local   >>>    Outside local       >>>Outside global >>>tcp ааа.ббб.ввв.4:3389   192.168.10.156:3389 ---       >>>        --- >>>tcp ааа.ббб.ввв.4:20     192.168.10.156:20  ---     >>>           >>> --- >>>tcp ааа.ббб.ввв.4:21     192.168.10.156:21  ---     >>>           >>> --- >>>ну еще динамические трансляции изнутри наружу >> >>Нормальная трансляция, все должно работать. >>Так роутинг на публикуемых серверах прописан? >>И как насчет списков доступа в циске, не режут ли они? >>И не режет ли фаервол на самих серверах? > >на сервере шлюз по усолчанию стоит >! >interface Ethernet0/1 > ip address 192.168.10.1 255.255.255.0 > ip nat inside > full-duplex >, список доступа только 1 >! >access-list 10 permit 192.168.10.0 0.0.0.255 >access-list 10 permit 192.168.1.0 0.0.0.255 >! >фаервол на серверах не должен ничего резать... >я уже не знаю что и предположить... "Не должен" - это предположение, а если отключить фаервол и проверить? Шлюзом прописан ваш 192.168.10.1 ? С самих серверов доступ в Инет есть? Вообще стоит взять сниффер и проверить, приходит ли что-то на ваши сервера из Инета(на порты , что вы публикуете), если нет, то включить на циске debug для nat'a и посмотреть, что мимо ходит. бегает.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	10. "Static Nat"
	Сообщение от Гость on 28-Апр-06, 15:37
	>>>>>Кстати, >>>>>show ip nat translation >>>>>что говорит? >>>> >>>>Pro Inside global      Inside local   >>>>    Outside local       >>>>Outside global >>>>tcp ааа.ббб.ввв.4:3389   192.168.10.156:3389 ---       >>>>        --- >>>>tcp ааа.ббб.ввв.4:20     192.168.10.156:20  ---     >>>>           >>>> --- >>>>tcp ааа.ббб.ввв.4:21     192.168.10.156:21  ---     >>>>           >>>> --- >>>>ну еще динамические трансляции изнутри наружу >>> >>>Нормальная трансляция, все должно работать. >>>Так роутинг на публикуемых серверах прописан? >>>И как насчет списков доступа в циске, не режут ли они? >>>И не режет ли фаервол на самих серверах? >> >>на сервере шлюз по усолчанию стоит >>! >>interface Ethernet0/1 >> ip address 192.168.10.1 255.255.255.0 >> ip nat inside >> full-duplex >>, список доступа только 1 >>! >>access-list 10 permit 192.168.10.0 0.0.0.255 >>access-list 10 permit 192.168.1.0 0.0.0.255 >>! >>фаервол на серверах не должен ничего резать... >>я уже не знаю что и предположить... > >"Не должен" - это предположение, а если отключить фаервол и проверить? >Шлюзом прописан ваш 192.168.10.1 ? С самих серверов доступ в Инет есть? > >Вообще стоит взять сниффер и проверить, приходит ли что-то на ваши сервера > >из Инета(на порты , что вы публикуете), если нет, то включить на >циске debug для nat'a и посмотреть, что мимо ходит. >бегает. на сервера отключен фаервол, шлюзом прописан 192.168.10.1, доступ с сервера в инет есть. на сервере не видно никакой активности извне...
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	11. "Static Nat"
	Сообщение от StSphinx (??) on 28-Апр-06, 16:27
	>на сервера отключен фаервол, шлюзом прописан 192.168.10.1, доступ с сервера в инет >есть. >на сервере не видно никакой активности извне... Тогда debug на циске.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	13. "Static Nat"
	Сообщение от Гость on 28-Апр-06, 17:27
	> >>на сервера отключен фаервол, шлюзом прописан 192.168.10.1, доступ с сервера в инет >>есть. >>на сервере не видно никакой активности извне... > >Тогда debug на циске. можно через асю пообщаться? я постучался в 335156 =)... в дебуге ничего не увидел =(
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	14. "Static Nat"
	Сообщение от StSphinx (??) on 30-Апр-06, 12:07
	>> >>>на сервера отключен фаервол, шлюзом прописан 192.168.10.1, доступ с сервера в инет >>>есть. >>>на сервере не видно никакой активности извне... >> >>Тогда debug на циске. > >можно через асю пообщаться? я постучался в 335156 =)... >в дебуге ничего не увидел =( 335156 - это телефон :) Если в debug'e нет ничего , то это неправильный debug. :) Насчет пообщаться - после выходнях пишите в мыло.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	12. "Static Nat"
	Сообщение от dengus (ok) on 28-Апр-06, 17:25
	>Попробуйте вот так: >ip nat inside source static tcp INSIDE_IP 3389 interface OUTSIDE_IFACE 3389 >то есть, вместо IP указать интерфейс. >INSIDE_IP - соотв. ip сервера который вы публикуете >OUSIDE_IFACE - интерфейс который смотрит в сторону провайдера >ЗЫ: Что-то мне сдается, что мы с вами на эту тему уже >беседовали не так давно. :) Спасибо! Мне помогло. Не мог разобраться с натом на циске 851
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

15. "Static Nat"

Сообщение от ayvengo (??) on 01-Май-06, 13:39

Выдернул  работающую конфигурацию, она у меня работает: interface FastEthernet0/0 no ip address no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow speed auto full-duplex no cdp enable ! interface FastEthernet0/0.1 encapsulation dot1Q 1 native ip address 192.168.6.1 255.255.255.0 ip nat inside ! interface FastEthernet0/0.3 encapsulation dot1Q 3 ip address aaa.bbb.ccc.ddd 255.255.255.252 ip access-group 115 in ip nat outside no cdp enable ! interface Serial0/0 no ip address encapsulation frame-relay no fair-queue frame-relay lmi-type cisco ! interface Serial0/0.1 point-to-point description connected to S.Peterburg ip unnumbered FastEthernet0/0.1 frame-relay interface-dlci 20 ! interface Ethernet1/0 ip address 172.16.3.1 255.255.255.0 ip access-group 113 in ip nat inside full-duplex no cdp enable ! router ospf 1 log-adjacency-changes network 192.168.6.0 0.0.0.255 area 1 ! ip default-gateway xxx.xxx.xxx.xxx ip classless ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx no ip http server ip nat inside source list 1 interface FastEthernet0/0.3 overload ip nat inside source list 2 interface FastEthernet0/0.3 overload ip nat inside source static tcp 172.16.3.2 21 aaa.bbb.ccc.ddd 21 extendable ip nat inside source static tcp 172.16.3.3 25 aaa.bbb.ccc.ddd 25 extendable ! ! У меня это работает cisco 1700 серии. >Доброго всем времени суток. >Извините заранее, тема конечно избитая, но не могу все-таки разобраться... >Сиуация такая: есть Циска на ней настроен ПАТ (машины из локалки выходят >в инет через 1 белый ИП). >Потребовалось настроить доступ извне к 1 серверу по некоторым портам... вот что >у меня есть > >interface Ethernet0/0 > ip address ааа.ббб.ввв.4 255.255.255.240 > ip nat outside > full-duplex > >! >interface Ethernet0/1 > ip address 192.168.10.1 255.255.255.0 > ip nat inside > full-duplex >! >ip nat inside source list 10 interface Ethernet0/0 overload >ip nat inside source static tcp 192.168.10.156 3389 ааа.ббб.ввв.4 3389 extendable no-alias > >ip nat inside source static tcp 192.168.10.156 20 ааа.ббб.ввв.4 20 extendable no-alias > >ip nat inside source static tcp 192.168.10.156 21 ааа.ббб.ввв.4 21 extendable no-alias > >ip classless >ip route 0.0.0.0 0.0.0.0 ааа.ббб.ввв.1 >no ip http server >! >access-list 10 permit 192.168.10.0 0.0.0.255 >! > >но это не работает... т.е. не получается дать доступ из инета к >серваку... >Уважаемые Гуру подскажите в чем грабли? >Заранее спасибо

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]