forum.opennet.ru - "Static NAT, снова он родимый" (11)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Static NAT, снова он родимый"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Static NAT, снова он родимый"
Сообщение от olessandro (ok) on 13-Фев-07, 14:23
Дано: локальная сетка, провайдер, киска 1751. В локалке есть сервер, который нужно статически натить в мир. Всё работало. Поменял провайдера, конфиг переделал по аналогии, почтовый работает, Фри сервак(101) нет :(: interface FastEthernet0.192 \\внутренний encapsulation dot1Q 192 native ip address 192.168.2.1 255.255.255.0 ip access-group 122 in no ip proxy-arp ip accounting output-packets ip nat inside interface Vlan11 \\ внешний ip address x.x.x.19 255.255.255.248 no ip proxy-arp ip nat outside fair-queue 256 1024 0 ip nat translation tcp-timeout 1200 ip nat inside source list CL_NAT_POOL interface Vlan11 overload ip nat inside source static tcp 192.168.2.6 25 х.х.х.19 25 extendable no-alias ip nat inside source static 192.168.2.101 x.x.x.20 no-alias ip route 0.0.0.0 0.0.0.0 х.х.х.17 ip access-list extended CL_NAT_POOL deny ip any any precedence immediate deny ip 192.168.0.0 0.0.0.255 any permit ip 192.168.2.0 0.0.0.255 any deny ip host 192.168.2.101 any permit ip any any Вобщем я не знаю уже куда рыть... Голова пухнет. Тыкните пожалуйста хоть пальцем в какую сторону. Может какая мелочь? З.Ы. конфиг счас немнго извращённый после разнооборазных экпериментов :).
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Static NAT, снова он родимый, Изгой, 15:28 , 13-Фев-07, (1)

Static NAT, снова он родимый, olessandro, 15:58 , 13-Фев-07, (2)

Static NAT, снова он родимый, Изгой, 16:10 , 13-Фев-07, (4)

Static NAT, снова он родимый, tashiki, 16:07 , 13-Фев-07, (3)

Static NAT, снова он родимый, Изгой, 16:14 , 13-Фев-07, (5)

Static NAT, снова он родимый, Изгой, 16:17 , 13-Фев-07, (6)

Static NAT, снова он родимый, olessandro, 16:34 , 13-Фев-07, (7)

Static NAT, снова он родимый, Изгой, 10:24 , 14-Фев-07, (8)

Static NAT, снова он родимый, olessandro, 10:39 , 14-Фев-07, (9)

Static NAT, снова он родимый, Изгой, 11:54 , 14-Фев-07, (10)

Static NAT, снова он родимый, olessandro, 12:49 , 14-Фев-07, (11)

Сообщения по теме [Сортировка по времени, UBB]

1. "Static NAT, снова он родимый"

Сообщение от Изгой (??) on 13-Фев-07, 15:28

>Дано: локальная сетка, провайдер, киска 1751. В локалке есть сервер, который нужно
>статически натить в мир. Всё работало. Поменял провайдера, конфиг переделал по
>аналогии, почтовый работает, Фри сервак(101) нет :(:
>interface FastEthernet0.192 \\внутренний
> encapsulation dot1Q 192 native
> ip address 192.168.2.1 255.255.255.0
> ip access-group 122 in
> no ip proxy-arp
> ip accounting output-packets
> ip nat inside
>
>interface Vlan11 \\ внешний
> ip address x.x.x.19 255.255.255.248
> no ip proxy-arp
> ip nat outside
> fair-queue 256 1024 0
>
>ip nat translation tcp-timeout 1200
>ip nat inside source list CL_NAT_POOL interface Vlan11 overload
>ip nat inside source static tcp 192.168.2.6 25 х.х.х.19 25 extendable no-alias
>
>ip nat inside source static 192.168.2.101 x.x.x.20 no-alias
>
>ip route 0.0.0.0 0.0.0.0 х.х.х.17
>
>ip access-list extended CL_NAT_POOL
> deny   ip any any precedence immediate
> deny   ip 192.168.0.0 0.0.0.255 any
> permit ip 192.168.2.0 0.0.0.255 any
> deny   ip host 192.168.2.101 any
> permit ip any any
>
>Вобщем я не знаю уже куда рыть... Голова пухнет. Тыкните пожалуйста хоть
>пальцем в какую сторону. Может какая мелочь?
>З.Ы. конфиг счас немнго извращённый после разнооборазных экпериментов :).
deny   ip any any precedence immediate - это что делает строка ?
Если бы я начинал экспиримент
я б показал весь конфиг
а то получаеться ip nat inside source static tcp 192.168.2.6 25 х.х.х.19 25 extendable no-alias здесь у вас обращение на один адресс
а тут на другой ip nat inside source static 192.168.2.101 x.x.x.20 - оть no-alias
Для начала я б no alias убрал бы , и заодно акцесс пока разрешил бы всё , попробывал , а потом бы дописал акцесс лист - так было бы логичнее и проще.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Static NAT, снова он родимый"

Сообщение от olessandro (ok) on 13-Фев-07, 15:58

>deny   ip any any precedence immediate - это что делает
>строка ?
Не знаю :). "Мамой клянус".
>а то получаеться ip nat inside source static tcp 192.168.2.6 25 х.х.х.19
>25 extendable no-alias здесь у вас обращение на один адресс
>а тут на другой ip nat inside source static 192.168.2.101 x.x.x.20 -
>оть no-alias
Всё прально: 19 это почтовый, 20 - Фря.
>Для начала я б no alias убрал бы , и заодно акцесс
>пока разрешил бы всё , попробывал , а потом бы дописал
>акцесс лист - так было бы логичнее и проще.
Я уже пробовал и так и эдак :(. Меня смущает, что с другим провом всё вышекуказанное работало. Единственная заметная на глаз разница между провами - различный расширенный сетевой префикс: /29 вместо /30. В этом может быть пробоема?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Static NAT, снова он родимый"

Сообщение от Изгой (??) on 13-Фев-07, 16:10

>>deny   ip any any precedence immediate - это что делает
>>строка ?
>
>Не знаю :). "Мамой клянус".
>
>>а то получаеться ip nat inside source static tcp 192.168.2.6 25 х.х.х.19
>>25 extendable no-alias здесь у вас обращение на один адресс
>>а тут на другой ip nat inside source static 192.168.2.101 x.x.x.20 -
>>оть no-alias
>
>Всё прально: 19 это почтовый, 20 - Фря.
>
>>Для начала я б no alias убрал бы , и заодно акцесс
>>пока разрешил бы всё , попробывал , а потом бы дописал
>>акцесс лист - так было бы логичнее и проще.
>
>Я уже пробовал и так и эдак :(. Меня смущает, что с
>другим провом всё вышекуказанное работало. Единственная заметная на глаз разница между
>провами - различный расширенный сетевой префикс: /29 вместо /30. В этом
>может быть пробоема?
ip clasless , хотя кажеться что то намудрено всё же где то , если 29
вам выделили 6 адресов с 17 по 22

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Static NAT, снова он родимый"

Сообщение от tashiki (??) on 13-Фев-07, 16:07

Проверте сначала происходит ли вообще НАТ:
#debug ip nat detailed
Потом - "ip access group 122 in" на fa0.192 где ACL???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Static NAT, снова он родимый"

Сообщение от Изгой (??) on 13-Фев-07, 16:14

>Проверте сначала происходит ли вообще НАТ:
>
>#debug ip nat detailed
>
>Потом - "ip access group 122 in" на fa0.192 где ACL???

Так где где , так не показал же он весь конф как просят.
сто пудов где то ошибка. Если почта ходит нормально то нат пашет , но что то сомнения меня теребят

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Static NAT, снова он родимый"

Сообщение от Изгой (??) on 13-Фев-07, 16:17

>>Проверте сначала происходит ли вообще НАТ:
>>
>>#debug ip nat detailed
>>
>>Потом - "ip access group 122 in" на fa0.192 где ACL???
>
>
>Так где где , так не показал же он весь конф как
>просят.
>сто пудов где то ошибка. Если почта ходит нормально то нат пашет
>, но что то сомнения меня теребят
ip access-list extended CL_NAT_POOL
deny   ip any any precedence immediate
deny   ip 192.168.0.0 0.0.0.255 any
permit ip 192.168.2.0 0.0.0.255 any
deny   ip host 192.168.2.101 any - хотя бы исходя из этого - это строка неработает так как правило выше пропускает этот хост.
правда вверху строка deny   ip any any precedence immediate - первый раз вижу может это новый вид аклов.
permit ip any any - потом вот это за которую мне голову разбивали в детстве.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Static NAT, снова он родимый"

Сообщение от olessandro (ok) on 13-Фев-07, 16:34

>ip access-list extended CL_NAT_POOL
>deny   ip any any precedence immediate
>deny   ip 192.168.0.0 0.0.0.255 any
>permit ip 192.168.2.0 0.0.0.255 any
>deny   ip host 192.168.2.101 any - хотя бы исходя из
>этого - это строка неработает так как правило выше пропускает этот
>хост.
>правда вверху строка deny   ip any any precedence immediate -
>первый раз вижу может это новый вид аклов.
>permit ip any any - потом вот это за которую мне голову
>разбивали в детстве.
Это я всё по максимуму разрешал :).
Ладно, даю полный текущий конфиг. Просьба не пугаться и меня ногами не пинать, на остальных интерфейсах тоже кой чего навешано (несколькими поколениями сисадминов):
Current configuration : 11662 bytes
!
! Last configuration change at 13:35:41 EEST Fri Mar 31 2006 by admin
! NVRAM config last updated at 09:58:43 EEST Thu Mar 30 2006 by admin
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Land
!
boot system flash:c1700-k9o3sy7-mz.123-2.XC2.bin
logging buffered 16000 debugging
logging rate-limit 10
enable secret 5 $1$.Z7C$WWYv7MuxxoHnx8bbbZuE50
!
username admin secret 5 $1$xAiT$gbDkpU4urGPMEwHxUWHPI1
clock timezone EET 2
clock summer-time EEST recurring last Sun Mar 3:00 last Sun Oct 4:00
aaa new-model
!
Land#save
!!!!
11662 bytes copied in 8.460 secs (1378 bytes/sec)
Land#sh run
Building configuration...
Current configuration : 11662 bytes
!
! Last configuration change at 13:35:41 EEST Fri Mar 31 2006 by admin
! NVRAM config last updated at 09:58:43 EEST Thu Mar 30 2006 by admin
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Land
!
boot system flash:c1700-k9o3sy7-mz.123-2.XC2.bin
logging buffered 16000 debugging
logging rate-limit 10
enable secret 5 $1$.Z7C$WWYv7MuxxoHnx8bbbZuE50
!
username admin secret 5 $1$xAiT$gbDkpU4urGPMEwHxUWHPI1
clock timezone EET 2
clock summer-time EEST recurring last Sun Mar 3:00 last Sun Oct 4:00
aaa new-model
!
!
aaa authentication login default local-case
aaa authentication login NOPASSWORD none
aaa authentication enable default enable
aaa accounting delay-start
aaa session-id common
ip subnet-zero
no ip rcmd domain-lookup
ip rcmd rsh-enable
ip rcmd remote-host admin 192.168.2.101 cisco enable
ip rcmd remote-host admin 192.168.2.101 klim enable
ip rcmd remote-host admin 192.168.2.101 root
!
!
ip domain list xa.xa.xa
ip domain name xa.xa.xa
ip name-server 212.68.160.1
ip name-server 212.68.160.8
ip name-server 195.140.176.3
ip dhcp excluded-address 10.14.7.1
!
ip dhcp pool voice2
   network 10.16.7.0 255.255.255.0
   default-router 10.16.7.1
   option 150 ip 212.109.53.214
!
!
ip dhcp class proba
!
ip cef
ip audit notify log
ip audit po max-events 100
ip ssh time-out 60
ip ssh authentication-retries 2
no ftp-server write-enable
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 0 xyzdatland address 172.17.2.1
crypto isakmp key 0 xyzipland address 172.17.1.1
crypto isakmp key 0 xyzdatland address 10.255.1.1
crypto isakmp key 0 xyzdatland address 10.255.2.1
crypto isakmp key 0 xyzdatland address 10.255.3.1
crypto isakmp key 0 xyzdatland address 10.255.4.1
!
!
crypto ipsec transform-set set1 ah-md5-hmac esp-3des
crypto ipsec transform-set set2 ah-md5-hmac esp-3des
!
crypto map xyz11 10 ipsec-isakmp
set peer 10.255.1.1
set transform-set set2
match address 102
!
crypto map xyz12 10 ipsec-isakmp
set peer 10.255.2.1
set transform-set set2
match address 102
!
crypto map xyz13 10 ipsec-isakmp
set peer 10.255.3.1
set transform-set set2
match address 102
!
crypto map xyz14 10 ipsec-isakmp
set peer 10.255.4.1
set transform-set set2
match address 102
!
file prompt quiet
no file verify auto
!
no spanning-tree vlan 12
no spanning-tree vlan 13
!
!
class-map match-all DST_OPEN
  match access-group name DONT_BAN_DST
!
!
policy-map CLASSIFY_DST
  class DST_OPEN
   set precedence 3
  class class-default
   set precedence 2
!
!
!
interface Loopback1
ip address 172.16.1.1 255.255.255.0
!
interface Loopback2
ip address 172.16.2.1 255.255.255.0
!
interface Loopback3
ip address 172.16.3.1 255.255.255.0
!
interface Loopback4
ip address 172.16.4.1 255.255.255.0
!
interface FastEthernet0
no ip address
ip accounting output-packets
speed auto
full-duplex
!
interface FastEthernet0.1
encapsulation dot1Q 1
ip address 10.1.1.2 255.255.255.0
no ip proxy-arp
!
interface FastEthernet0.16
encapsulation dot1Q 16
ip address 10.16.7.1 255.255.255.0
!
interface FastEthernet0.22
encapsulation dot1Q 22
ip address 10.10.22.2 255.255.255.252
!
interface FastEthernet0.192
encapsulation dot1Q 192 native
ip address 192.168.2.1 255.255.255.0
ip access-group 122 in
no ip proxy-arp
ip accounting output-packets
ip nat inside
!
interface FastEthernet1
switchport access vlan 11
no ip address
vlan-id dot1q 11
  description IP phone vlan
  exit-vlan-config
!
!
interface FastEthernet2
switchport access vlan 12
no ip address
vlan-id dot1q 12
  exit-vlan-config
!
!
interface FastEthernet3
switchport access vlan 13
no ip address
vlan-id dot1q 13
  exit-vlan-config
!
!
interface FastEthernet4
switchport access vlan 14
no ip address
vlan-id dot1q 14
  exit-vlan-config
!
!
interface Serial0
description ISP Viaduk
ip address 212.68.161.226 255.255.255.252
ip access-group VN_IN_CL in
ip access-group VN_OUT_CL out
no ip proxy-arp
ip nat outside
service-policy input CLASSIFY_DST
encapsulation ppp
shutdown
fair-queue 256 1024 0
traffic-shape group 160 32000 7992 7992 1000
traffic-shape group 161 512000 12000 12000 1000
!
interface Vlan12
ip address 10.255.2.11 255.255.255.0
ip mtu 640
!
interface Vlan13
ip address 10.255.3.11 255.255.255.0
ip mtu 640
!
interface Vlan14
ip address 10.255.14.1 255.255.255.0
ip mtu 640
crypto map xyz14
!
interface Vlan11
ip address х.х.х.19 255.255.255.248
no ip proxy-arp
ip nat outside
fair-queue 256 1024 0
!
interface Vlan3
no ip address
shutdown
!
interface Vlan1
no ip address
!
ip nat translation tcp-timeout 1200
ip nat pool HELIX х.х.х.20 х.х.х.20 netmask 255.255.255.248
ip nat inside source list CL_NAT_POOL interface Vlan11 overload
ip nat inside source static tcp 192.168.2.6 25 х.х.х.19 25 extendable no-alias
ip nat inside source static 192.168.2.101 х.х.х.20
ip classless
ip route 0.0.0.0 0.0.0.0 х.х.х.17
ip route 10.10.20.0 255.255.255.252 10.10.22.1
ip route 10.13.7.0 255.255.255.0 10.10.22.1
ip route 10.15.7.0 255.255.255.0 10.10.22.1
ip route 192.168.0.0 255.255.255.0 Null0
ip route 192.168.100.0 255.255.255.0 10.255.2.1
ip route 212.109.53.209 255.255.255.255 10.10.22.1
ip route 212.109.53.214 255.255.255.255 10.10.22.1
no ip http server
no ip http secure-server
!
!
!
ip access-list extended CL_NAT_POOL
deny   ip any any precedence immediate
deny   ip 192.168.0.0 0.0.0.255 any
permit ip 192.168.2.0 0.0.0.255 any
deny   ip host 192.168.2.101 any
permit ip any any
ip access-list extended CL_VPN
permit ip х.х.х.16 0.0.0.5 any
permit ip host х.х.х.20 any
ip access-list extended DIALIN_NAT_ACL
permit ip 192.168.0.0 0.0.0.127 any
permit ip host 192.168.2.8 any
ip access-list extended DONT_BAN_DST
permit tcp any any eq www
permit tcp any any eq pop3
permit tcp any any eq 443
permit tcp any any eq 995
permit tcp any 64.12.0.0 0.0.255.255 eq 5190
permit tcp any 205.188.0.0 0.0.255.255 eq 5190
permit icmp any any echo
permit icmp any any packet-too-big
permit icmp any any parameter-problem
permit icmp any any source-quench
permit icmp any any time-exceeded
permit icmp any any traceroute
permit icmp any any unreachable
ip access-list extended FN_IN_CL
deny   ip 10.0.0.0 0.255.255.255 any
deny   ip 127.0.0.0 0.255.255.255 any
evaluate REF_ACL
permit ip any х.х.х.16 0.0.0.5
permit icmp any х.х.х.16 0.0.0.5 echo-reply
permit icmp any х.х.х.16 0.0.0.5 unreachable
permit icmp any х.х.х.16 0.0.0.5 source-quench
permit icmp any х.х.х.16 0.0.0.5 time-exceeded
permit icmp any х.х.х.16 0.0.0.5 parameter-problem
permit tcp any х.х.х.16 0.0.0.5 established
ip access-list extended FN_OUT_CL
deny   ip any 10.0.0.0 0.255.255.255
deny   ip any 127.0.0.0 0.255.255.255
deny   ip any 192.168.0.0 0.0.255.255
deny   tcp any any eq smtp syn log
deny   tcp any any eq 135 syn log
deny   tcp any any eq 139 syn log
deny   tcp any any eq 445 syn log
deny   tcp any any eq 1080 syn log
deny   tcp any any eq 1433 syn log
deny   udp any any eq 1434 log
permit ip х.х.х.16 0.0.0.5 any
permit ip х.х.х.16 0.0.0.5 any reflect REF_ACL timeout 300
ip access-list extended VN_IN_CL
deny   ip 10.0.0.0 0.255.255.255 any
deny   ip 127.0.0.0 0.255.255.255 any
permit ip any 212.68.161.224 0.0.0.7
permit icmp any 212.68.161.224 0.0.0.7 echo-reply
permit icmp any 212.68.161.224 0.0.0.7 unreachable
permit icmp any 212.68.161.224 0.0.0.7 source-quench
permit icmp any 212.68.161.224 0.0.0.7 time-exceeded
permit icmp any 212.68.161.224 0.0.0.7 parameter-problem
permit tcp any 212.68.161.224 0.0.0.7 established
evaluate REF_ACL
permit ip any х.х.х.16 0.0.0.5
ip access-list extended VN_OUT_CL
deny   ip any 10.0.0.0 0.255.255.255
deny   ip any 127.0.0.0 0.255.255.255
deny   ip any 192.168.0.0 0.0.255.255
permit ip 212.68.161.224 0.0.0.7 any
deny   tcp any any eq smtp syn log
deny   tcp any any eq 135 syn log
deny   tcp any any eq 139 syn log
deny   tcp any any eq 445 syn log
deny   tcp any any eq 1080 syn log
deny   tcp any any eq 1433 syn log
deny   udp any any eq 1434 log
permit ip 212.68.161.224 0.0.0.7 any reflect REF_ACL timeout 300
permit ip х.х.х.16 0.0.0.5 any
access-list 2 remark NTP server
access-list 2 permit 62.149.0.1
access-list 50 permit 10.13.7.20
access-list 50 permit 192.168.2.0 0.0.0.255
access-list 50 remark Host's access to terminal
access-list 99 permit 10.255.11.0 0.0.0.255
access-list 99 permit 10.255.1.0 0.0.0.255
access-list 101 permit ip 10.16.7.0 0.0.0.255 10.15.7.0 0.0.0.255
access-list 102 permit ip 10.16.7.0 0.0.0.255 10.15.7.0 0.0.0.255
access-list 102 permit ip 192.168.2.0 0.0.0.255 10.13.7.0 0.0.0.255
access-list 102 permit ip 10.16.7.0 0.0.0.255 host 212.109.53.214 log
access-list 102 permit ip 10.16.7.0 0.0.0.255 10.13.7.0 0.0.0.255
access-list 102 permit ip host 192.168.2.101 any
access-list 121 deny   udp any eq netbios-dgm any
access-list 121 deny   udp any eq netbios-ns any
access-list 121 deny   udp any eq netbios-ss any
access-list 122 deny   tcp any eq 137 any
access-list 122 deny   tcp any eq 138 any
access-list 122 deny   tcp any eq 139 any
access-list 122 permit ip any any
access-list 160 permit tcp host 212.68.161.226 any range 4600 4699
access-list 160 permit tcp host 212.68.161.226 eq 4662 any
access-list 160 permit tcp host 212.68.161.226 any range 6666 6669
access-list 161 permit ip any any precedence immediate
access-list 161 permit ip any any precedence flash
access-list 180 deny   ip any host 224.0.0.10
access-list 180 deny   ip host 224.0.0.10 any
access-list 180 permit ip any 192.168.100.0 0.0.0.255
access-list 180 permit ip any 10.255.2.0 0.0.0.255
access-list 180 permit ip any 10.255.3.0 0.0.0.255
access-list 180 permit ip 10.255.3.0 0.0.0.255 any
access-list 180 permit ip 10.255.2.0 0.0.0.255 any
access-list 180 permit ip 192.168.100.0 0.0.0.255 any
access-list 196 deny   ip host 10.255.1.1 any
access-list 196 deny   ip any host 10.255.1.1
access-list 196 permit ip any any
access-list 197 permit ip host 10.13.7.157 any
access-list 197 permit ip any host 10.13.7.157
access-list 198 deny   ip host 10.13.7.12 any
access-list 198 deny   ip any host 10.13.7.12
access-list 198 deny   ip host 224.0.0.9 any
access-list 198 deny   ip any host 224.0.0.9
access-list 198 permit ip 10.255.0.0 0.0.255.255 any
access-list 198 permit ip any 10.255.0.0 0.0.255.255
access-list 198 permit ip any host 10.13.7.157
access-list 198 permit ip host 10.13.7.157 any
access-list 199 permit ip 10.255.0.0 0.0.255.255 any
access-list 199 permit ip any 10.255.0.0 0.0.255.255
snmp-server community XYZ RW
snmp-server enable traps tty
!
alias exec save copy running-config tftp://192.168.2.101/land/conf
!
line con 0
exec-timeout 0 0
logging synchronous
login authentication NOPASSWORD
full-help
escape-character 27
line aux 0
line vty 0 4
access-class 50 in
exec-timeout 60 0
logging synchronous
full-help
transport preferred none
transport input telnet ssh
escape-character 27
!
no scheduler allocate
ntp clock-period 17180049
ntp access-group peer 2
ntp server 62.149.0.1
!
end

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Static NAT, снова он родимый"

Сообщение от Изгой (??) on 14-Фев-07, 10:24

>>ip access-list extended CL_NAT_POOL
>>deny   ip any any precedence immediate
>>deny   ip 192.168.0.0 0.0.0.255 any
>>permit ip 192.168.2.0 0.0.0.255 any
>>deny   ip host 192.168.2.101 any - хотя бы исходя из
>>этого - это строка неработает так как правило выше пропускает этот
>>хост.
>>правда вверху строка deny   ip any any precedence immediate -
>>первый раз вижу может это новый вид аклов.
>>permit ip any any - потом вот это за которую мне голову
>>разбивали в детстве.
>Это я всё по максимуму разрешал :).
>Ладно, даю полный текущий конфиг. Просьба не пугаться и меня ногами не
>пинать, на остальных интерфейсах тоже кой чего навешано (несколькими поколениями сисадминов):
>
>Current configuration : 11662 bytes
>!
>! Last configuration change at 13:35:41 EEST Fri Mar 31 2006 by
>admin
>! NVRAM config last updated at 09:58:43 EEST Thu Mar 30 2006
>by admin
>!
>version 12.3
>service timestamps debug datetime msec
>service timestamps log datetime msec
>service password-encryption
>!
>hostname Land
>!
>boot system flash:c1700-k9o3sy7-mz.123-2.XC2.bin
>logging buffered 16000 debugging
>logging rate-limit 10
>enable secret 5 $1$.Z7C$WWYv7MuxxoHnx8bbbZuE50
>!
>username admin secret 5 $1$xAiT$gbDkpU4urGPMEwHxUWHPI1
>clock timezone EET 2
>clock summer-time EEST recurring last Sun Mar 3:00 last Sun Oct 4:00
>
>aaa new-model
>!
>
>Land#save
>!!!!
>11662 bytes copied in 8.460 secs (1378 bytes/sec)
>Land#sh run
>Building configuration...
>
>Current configuration : 11662 bytes
>!
>! Last configuration change at 13:35:41 EEST Fri Mar 31 2006 by
>admin
>! NVRAM config last updated at 09:58:43 EEST Thu Mar 30 2006
>by admin
>!
>version 12.3
>service timestamps debug datetime msec
>service timestamps log datetime msec
>service password-encryption
>!
>hostname Land
>!
>boot system flash:c1700-k9o3sy7-mz.123-2.XC2.bin
>logging buffered 16000 debugging
>logging rate-limit 10
>enable secret 5 $1$.Z7C$WWYv7MuxxoHnx8bbbZuE50
>!
>username admin secret 5 $1$xAiT$gbDkpU4urGPMEwHxUWHPI1
>clock timezone EET 2
>clock summer-time EEST recurring last Sun Mar 3:00 last Sun Oct 4:00
>
>aaa new-model
>!
>!
>aaa authentication login default local-case
>aaa authentication login NOPASSWORD none
>aaa authentication enable default enable
>aaa accounting delay-start
>aaa session-id common
>ip subnet-zero
>no ip rcmd domain-lookup
>ip rcmd rsh-enable
>ip rcmd remote-host admin 192.168.2.101 cisco enable
>ip rcmd remote-host admin 192.168.2.101 klim enable
>ip rcmd remote-host admin 192.168.2.101 root
>!
>!
>ip domain list xa.xa.xa
>ip domain name xa.xa.xa
>ip name-server 212.68.160.1
>ip name-server 212.68.160.8
>ip name-server 195.140.176.3
>ip dhcp excluded-address 10.14.7.1
>!
>ip dhcp pool voice2
>   network 10.16.7.0 255.255.255.0
>   default-router 10.16.7.1
>   option 150 ip 212.109.53.214
>!
>!
>ip dhcp class proba
>!
>ip cef
>ip audit notify log
>ip audit po max-events 100
>ip ssh time-out 60
>ip ssh authentication-retries 2
>no ftp-server write-enable
>!
>!
>!
>!
>!
>crypto isakmp policy 1
> encr 3des
> hash md5
> authentication pre-share
> group 2
>!
>crypto isakmp policy 10
> encr 3des
> hash md5
> authentication pre-share
> group 2
>crypto isakmp key 0 xyzdatland address 172.17.2.1
>crypto isakmp key 0 xyzipland address 172.17.1.1
>crypto isakmp key 0 xyzdatland address 10.255.1.1
>crypto isakmp key 0 xyzdatland address 10.255.2.1
>crypto isakmp key 0 xyzdatland address 10.255.3.1
>crypto isakmp key 0 xyzdatland address 10.255.4.1
>!
>!
>crypto ipsec transform-set set1 ah-md5-hmac esp-3des
>crypto ipsec transform-set set2 ah-md5-hmac esp-3des
>!
>crypto map xyz11 10 ipsec-isakmp
> set peer 10.255.1.1
> set transform-set set2
> match address 102
>!
>crypto map xyz12 10 ipsec-isakmp
> set peer 10.255.2.1
> set transform-set set2
> match address 102
>!
>crypto map xyz13 10 ipsec-isakmp
> set peer 10.255.3.1
> set transform-set set2
> match address 102
>!
>crypto map xyz14 10 ipsec-isakmp
> set peer 10.255.4.1
> set transform-set set2
> match address 102
>!
>file prompt quiet
>no file verify auto
>!
>no spanning-tree vlan 12
>no spanning-tree vlan 13
>!
>!
> class-map match-all DST_OPEN
>  match access-group name DONT_BAN_DST
>!
>!
> policy-map CLASSIFY_DST
>  class DST_OPEN
>   set precedence 3
>  class class-default
>   set precedence 2
>!
>!
>!
>interface Loopback1
> ip address 172.16.1.1 255.255.255.0
>!
>interface Loopback2
> ip address 172.16.2.1 255.255.255.0
>!
>interface Loopback3
> ip address 172.16.3.1 255.255.255.0
>!
>interface Loopback4
> ip address 172.16.4.1 255.255.255.0
>!
>interface FastEthernet0
> no ip address
> ip accounting output-packets
> speed auto
> full-duplex
>!
>interface FastEthernet0.1
> encapsulation dot1Q 1
> ip address 10.1.1.2 255.255.255.0
> no ip proxy-arp
>!
>interface FastEthernet0.16
> encapsulation dot1Q 16
> ip address 10.16.7.1 255.255.255.0
>!
>interface FastEthernet0.22
> encapsulation dot1Q 22
> ip address 10.10.22.2 255.255.255.252
>!
>interface FastEthernet0.192
> encapsulation dot1Q 192 native
> ip address 192.168.2.1 255.255.255.0
> ip access-group 122 in
> no ip proxy-arp
> ip accounting output-packets
> ip nat inside
>!
>interface FastEthernet1
> switchport access vlan 11
> no ip address
> vlan-id dot1q 11
>  description IP phone vlan
>  exit-vlan-config
> !
>!
>interface FastEthernet2
> switchport access vlan 12
> no ip address
> vlan-id dot1q 12
>  exit-vlan-config
> !
>!
>interface FastEthernet3
> switchport access vlan 13
> no ip address
> vlan-id dot1q 13
>  exit-vlan-config
> !
>!
>interface FastEthernet4
> switchport access vlan 14
> no ip address
> vlan-id dot1q 14
>  exit-vlan-config
> !
>!
>interface Serial0
> description ISP Viaduk
> ip address 212.68.161.226 255.255.255.252
> ip access-group VN_IN_CL in
> ip access-group VN_OUT_CL out
> no ip proxy-arp
> ip nat outside
> service-policy input CLASSIFY_DST
> encapsulation ppp
> shutdown
> fair-queue 256 1024 0
> traffic-shape group 160 32000 7992 7992 1000
> traffic-shape group 161 512000 12000 12000 1000
>!
>interface Vlan12
> ip address 10.255.2.11 255.255.255.0
> ip mtu 640
>!
>interface Vlan13
> ip address 10.255.3.11 255.255.255.0
> ip mtu 640
>!
>interface Vlan14
> ip address 10.255.14.1 255.255.255.0
> ip mtu 640
> crypto map xyz14
>!
>interface Vlan11
> ip address х.х.х.19 255.255.255.248
> no ip proxy-arp
> ip nat outside
> fair-queue 256 1024 0
>!
>interface Vlan3
> no ip address
> shutdown
>!
>interface Vlan1
> no ip address
>!
>ip nat translation tcp-timeout 1200
>ip nat pool HELIX х.х.х.20 х.х.х.20 netmask 255.255.255.248
>ip nat inside source list CL_NAT_POOL interface Vlan11 overload
>ip nat inside source static tcp 192.168.2.6 25 х.х.х.19 25 extendable no-alias
>
>ip nat inside source static 192.168.2.101 х.х.х.20
>ip classless
>ip route 0.0.0.0 0.0.0.0 х.х.х.17
>ip route 10.10.20.0 255.255.255.252 10.10.22.1
>ip route 10.13.7.0 255.255.255.0 10.10.22.1
>ip route 10.15.7.0 255.255.255.0 10.10.22.1
>ip route 192.168.0.0 255.255.255.0 Null0
>ip route 192.168.100.0 255.255.255.0 10.255.2.1
>ip route 212.109.53.209 255.255.255.255 10.10.22.1
>ip route 212.109.53.214 255.255.255.255 10.10.22.1
>no ip http server
>no ip http secure-server
>!
>!
>!
>ip access-list extended CL_NAT_POOL
> deny   ip any any precedence immediate
> deny   ip 192.168.0.0 0.0.0.255 any
> permit ip 192.168.2.0 0.0.0.255 any
> deny   ip host 192.168.2.101 any
> permit ip any any
>ip access-list extended CL_VPN
> permit ip х.х.х.16 0.0.0.5 any
> permit ip host х.х.х.20 any
>ip access-list extended DIALIN_NAT_ACL
> permit ip 192.168.0.0 0.0.0.127 any
> permit ip host 192.168.2.8 any
>ip access-list extended DONT_BAN_DST
> permit tcp any any eq www
> permit tcp any any eq pop3
> permit tcp any any eq 443
> permit tcp any any eq 995
> permit tcp any 64.12.0.0 0.0.255.255 eq 5190
> permit tcp any 205.188.0.0 0.0.255.255 eq 5190
> permit icmp any any echo
> permit icmp any any packet-too-big
> permit icmp any any parameter-problem
> permit icmp any any source-quench
> permit icmp any any time-exceeded
> permit icmp any any traceroute
> permit icmp any any unreachable
>ip access-list extended FN_IN_CL
> deny   ip 10.0.0.0 0.255.255.255 any
> deny   ip 127.0.0.0 0.255.255.255 any
> evaluate REF_ACL
> permit ip any х.х.х.16 0.0.0.5
> permit icmp any х.х.х.16 0.0.0.5 echo-reply
> permit icmp any х.х.х.16 0.0.0.5 unreachable
> permit icmp any х.х.х.16 0.0.0.5 source-quench
> permit icmp any х.х.х.16 0.0.0.5 time-exceeded
> permit icmp any х.х.х.16 0.0.0.5 parameter-problem
> permit tcp any х.х.х.16 0.0.0.5 established
>ip access-list extended FN_OUT_CL
> deny   ip any 10.0.0.0 0.255.255.255
> deny   ip any 127.0.0.0 0.255.255.255
> deny   ip any 192.168.0.0 0.0.255.255
> deny   tcp any any eq smtp syn log
> deny   tcp any any eq 135 syn log
> deny   tcp any any eq 139 syn log
> deny   tcp any any eq 445 syn log
> deny   tcp any any eq 1080 syn log
> deny   tcp any any eq 1433 syn log
> deny   udp any any eq 1434 log
> permit ip х.х.х.16 0.0.0.5 any
> permit ip х.х.х.16 0.0.0.5 any reflect REF_ACL timeout 300
>ip access-list extended VN_IN_CL
> deny   ip 10.0.0.0 0.255.255.255 any
> deny   ip 127.0.0.0 0.255.255.255 any
> permit ip any 212.68.161.224 0.0.0.7
> permit icmp any 212.68.161.224 0.0.0.7 echo-reply
> permit icmp any 212.68.161.224 0.0.0.7 unreachable
> permit icmp any 212.68.161.224 0.0.0.7 source-quench
> permit icmp any 212.68.161.224 0.0.0.7 time-exceeded
> permit icmp any 212.68.161.224 0.0.0.7 parameter-problem
> permit tcp any 212.68.161.224 0.0.0.7 established
> evaluate REF_ACL
> permit ip any х.х.х.16 0.0.0.5
>ip access-list extended VN_OUT_CL
> deny   ip any 10.0.0.0 0.255.255.255
> deny   ip any 127.0.0.0 0.255.255.255
> deny   ip any 192.168.0.0 0.0.255.255
> permit ip 212.68.161.224 0.0.0.7 any
> deny   tcp any any eq smtp syn log
> deny   tcp any any eq 135 syn log
> deny   tcp any any eq 139 syn log
> deny   tcp any any eq 445 syn log
> deny   tcp any any eq 1080 syn log
> deny   tcp any any eq 1433 syn log
> deny   udp any any eq 1434 log
> permit ip 212.68.161.224 0.0.0.7 any reflect REF_ACL timeout 300
> permit ip х.х.х.16 0.0.0.5 any
>access-list 2 remark NTP server
>access-list 2 permit 62.149.0.1
>access-list 50 permit 10.13.7.20
>access-list 50 permit 192.168.2.0 0.0.0.255
>access-list 50 remark Host's access to terminal
>access-list 99 permit 10.255.11.0 0.0.0.255
>access-list 99 permit 10.255.1.0 0.0.0.255
>access-list 101 permit ip 10.16.7.0 0.0.0.255 10.15.7.0 0.0.0.255
>access-list 102 permit ip 10.16.7.0 0.0.0.255 10.15.7.0 0.0.0.255
>access-list 102 permit ip 192.168.2.0 0.0.0.255 10.13.7.0 0.0.0.255
>access-list 102 permit ip 10.16.7.0 0.0.0.255 host 212.109.53.214 log
>access-list 102 permit ip 10.16.7.0 0.0.0.255 10.13.7.0 0.0.0.255
>access-list 102 permit ip host 192.168.2.101 any
>access-list 121 deny   udp any eq netbios-dgm any
>access-list 121 deny   udp any eq netbios-ns any
>access-list 121 deny   udp any eq netbios-ss any
>access-list 122 deny   tcp any eq 137 any
>access-list 122 deny   tcp any eq 138 any
>access-list 122 deny   tcp any eq 139 any
>access-list 122 permit ip any any
>access-list 160 permit tcp host 212.68.161.226 any range 4600 4699
>access-list 160 permit tcp host 212.68.161.226 eq 4662 any
>access-list 160 permit tcp host 212.68.161.226 any range 6666 6669
>access-list 161 permit ip any any precedence immediate
>access-list 161 permit ip any any precedence flash
>access-list 180 deny   ip any host 224.0.0.10
>access-list 180 deny   ip host 224.0.0.10 any
>access-list 180 permit ip any 192.168.100.0 0.0.0.255
>access-list 180 permit ip any 10.255.2.0 0.0.0.255
>access-list 180 permit ip any 10.255.3.0 0.0.0.255
>access-list 180 permit ip 10.255.3.0 0.0.0.255 any
>access-list 180 permit ip 10.255.2.0 0.0.0.255 any
>access-list 180 permit ip 192.168.100.0 0.0.0.255 any
>access-list 196 deny   ip host 10.255.1.1 any
>access-list 196 deny   ip any host 10.255.1.1
>access-list 196 permit ip any any
>access-list 197 permit ip host 10.13.7.157 any
>access-list 197 permit ip any host 10.13.7.157
>access-list 198 deny   ip host 10.13.7.12 any
>access-list 198 deny   ip any host 10.13.7.12
>access-list 198 deny   ip host 224.0.0.9 any
>access-list 198 deny   ip any host 224.0.0.9
>access-list 198 permit ip 10.255.0.0 0.0.255.255 any
>access-list 198 permit ip any 10.255.0.0 0.0.255.255
>access-list 198 permit ip any host 10.13.7.157
>access-list 198 permit ip host 10.13.7.157 any
>access-list 199 permit ip 10.255.0.0 0.0.255.255 any
>access-list 199 permit ip any 10.255.0.0 0.0.255.255
>snmp-server community XYZ RW
>snmp-server enable traps tty
>!
>alias exec save copy running-config tftp://192.168.2.101/land/conf
>!
>line con 0
> exec-timeout 0 0
> logging synchronous
> login authentication NOPASSWORD
> full-help
> escape-character 27
>line aux 0
>line vty 0 4
> access-class 50 in
> exec-timeout 60 0
> logging synchronous
> full-help
> transport preferred none
> transport input telnet ssh
> escape-character 27
>!
>no scheduler allocate
>ntp clock-period 17180049
>ntp access-group peer 2
>ntp server 62.149.0.1
>!
>end
Пинг с сервера  проходит ? , почтовый точно работает?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Static NAT, снова он родимый"

Сообщение от olessandro (??) on 14-Фев-07, 10:39

>Пинг с сервера  проходит ? , почтовый точно работает?
Спасибо за помощь, но, как это иногда бывает, проблема перешла в разряд мистики. Сегодня с утра всё ЗАРАБОТАЛО без какого-либо вмешательства с моей стороны, а больше вмешиваться некому. Ещё вчера поздно вечером никакого отклика с сервера из дому не получал. Сиди теперь и думай, есть ли волшебство? :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Static NAT, снова он родимый"

Сообщение от Изгой (??) on 14-Фев-07, 11:54

>>Пинг с сервера  проходит ? , почтовый точно работает?
>Спасибо за помощь, но, как это иногда бывает, проблема перешла в разряд
>мистики. Сегодня с утра всё ЗАРАБОТАЛО без какого-либо вмешательства с моей
>стороны, а больше вмешиваться некому. Ещё вчера поздно вечером никакого отклика
>с сервера из дому не получал. Сиди теперь и думай, есть
>ли волшебство? :)

Ой что то чуток дописали, совсем немного ? -) аа ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Static NAT, снова он родимый"

Сообщение от olessandro (??) on 14-Фев-07, 12:49

>Ой что то чуток дописали, совсем немного ? -) аа ?
=). Конфиг один к одному с указанным, только permit ip any any поубирал

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Static NAT, снова он родимый"
Сообщение от Изгой (??) on 13-Фев-07, 15:28
>Дано: локальная сетка, провайдер, киска 1751. В локалке есть сервер, который нужно >статически натить в мир. Всё работало. Поменял провайдера, конфиг переделал по >аналогии, почтовый работает, Фри сервак(101) нет :(: >interface FastEthernet0.192 \\внутренний > encapsulation dot1Q 192 native > ip address 192.168.2.1 255.255.255.0 > ip access-group 122 in > no ip proxy-arp > ip accounting output-packets > ip nat inside > >interface Vlan11 \\ внешний > ip address x.x.x.19 255.255.255.248 > no ip proxy-arp > ip nat outside > fair-queue 256 1024 0 > >ip nat translation tcp-timeout 1200 >ip nat inside source list CL_NAT_POOL interface Vlan11 overload >ip nat inside source static tcp 192.168.2.6 25 х.х.х.19 25 extendable no-alias > >ip nat inside source static 192.168.2.101 x.x.x.20 no-alias > >ip route 0.0.0.0 0.0.0.0 х.х.х.17 > >ip access-list extended CL_NAT_POOL > deny ip any any precedence immediate > deny ip 192.168.0.0 0.0.0.255 any > permit ip 192.168.2.0 0.0.0.255 any > deny ip host 192.168.2.101 any > permit ip any any > >Вобщем я не знаю уже куда рыть... Голова пухнет. Тыкните пожалуйста хоть >пальцем в какую сторону. Может какая мелочь? >З.Ы. конфиг счас немнго извращённый после разнооборазных экпериментов :). deny ip any any precedence immediate - это что делает строка ? Если бы я начинал экспиримент я б показал весь конфиг а то получаеться ip nat inside source static tcp 192.168.2.6 25 х.х.х.19 25 extendable no-alias здесь у вас обращение на один адресс а тут на другой ip nat inside source static 192.168.2.101 x.x.x.20 - оть no-alias Для начала я б no alias убрал бы , и заодно акцесс пока разрешил бы всё , попробывал , а потом бы дописал акцесс лист - так было бы логичнее и проще.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Static NAT, снова он родимый"
	Сообщение от olessandro (ok) on 13-Фев-07, 15:58
	>deny ip any any precedence immediate - это что делает >строка ? Не знаю :). "Мамой клянус". >а то получаеться ip nat inside source static tcp 192.168.2.6 25 х.х.х.19 >25 extendable no-alias здесь у вас обращение на один адресс >а тут на другой ip nat inside source static 192.168.2.101 x.x.x.20 - >оть no-alias Всё прально: 19 это почтовый, 20 - Фря. >Для начала я б no alias убрал бы , и заодно акцесс >пока разрешил бы всё , попробывал , а потом бы дописал >акцесс лист - так было бы логичнее и проще. Я уже пробовал и так и эдак :(. Меня смущает, что с другим провом всё вышекуказанное работало. Единственная заметная на глаз разница между провами - различный расширенный сетевой префикс: /29 вместо /30. В этом может быть пробоема?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Static NAT, снова он родимый"
	Сообщение от Изгой (??) on 13-Фев-07, 16:10
	>>deny ip any any precedence immediate - это что делает >>строка ? > >Не знаю :). "Мамой клянус". > >>а то получаеться ip nat inside source static tcp 192.168.2.6 25 х.х.х.19 >>25 extendable no-alias здесь у вас обращение на один адресс >>а тут на другой ip nat inside source static 192.168.2.101 x.x.x.20 - >>оть no-alias > >Всё прально: 19 это почтовый, 20 - Фря. > >>Для начала я б no alias убрал бы , и заодно акцесс >>пока разрешил бы всё , попробывал , а потом бы дописал >>акцесс лист - так было бы логичнее и проще. > >Я уже пробовал и так и эдак :(. Меня смущает, что с >другим провом всё вышекуказанное работало. Единственная заметная на глаз разница между >провами - различный расширенный сетевой префикс: /29 вместо /30. В этом >может быть пробоема? ip clasless , хотя кажеться что то намудрено всё же где то , если 29 вам выделили 6 адресов с 17 по 22
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Static NAT, снова он родимый"
	Сообщение от tashiki (??) on 13-Фев-07, 16:07
	Проверте сначала происходит ли вообще НАТ: #debug ip nat detailed Потом - "ip access group 122 in" на fa0.192 где ACL???
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Static NAT, снова он родимый"
	Сообщение от Изгой (??) on 13-Фев-07, 16:14
	>Проверте сначала происходит ли вообще НАТ: > >#debug ip nat detailed > >Потом - "ip access group 122 in" на fa0.192 где ACL??? Так где где , так не показал же он весь конф как просят. сто пудов где то ошибка. Если почта ходит нормально то нат пашет , но что то сомнения меня теребят
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Static NAT, снова он родимый"
	Сообщение от Изгой (??) on 13-Фев-07, 16:17
	>>Проверте сначала происходит ли вообще НАТ: >> >>#debug ip nat detailed >> >>Потом - "ip access group 122 in" на fa0.192 где ACL??? > > >Так где где , так не показал же он весь конф как >просят. >сто пудов где то ошибка. Если почта ходит нормально то нат пашет >, но что то сомнения меня теребят ip access-list extended CL_NAT_POOL deny ip any any precedence immediate deny ip 192.168.0.0 0.0.0.255 any permit ip 192.168.2.0 0.0.0.255 any deny ip host 192.168.2.101 any - хотя бы исходя из этого - это строка неработает так как правило выше пропускает этот хост. правда вверху строка deny ip any any precedence immediate - первый раз вижу может это новый вид аклов. permit ip any any - потом вот это за которую мне голову разбивали в детстве.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Static NAT, снова он родимый"
	Сообщение от olessandro (ok) on 13-Фев-07, 16:34
	>ip access-list extended CL_NAT_POOL >deny ip any any precedence immediate >deny ip 192.168.0.0 0.0.0.255 any >permit ip 192.168.2.0 0.0.0.255 any >deny ip host 192.168.2.101 any - хотя бы исходя из >этого - это строка неработает так как правило выше пропускает этот >хост. >правда вверху строка deny ip any any precedence immediate - >первый раз вижу может это новый вид аклов. >permit ip any any - потом вот это за которую мне голову >разбивали в детстве. Это я всё по максимуму разрешал :). Ладно, даю полный текущий конфиг. Просьба не пугаться и меня ногами не пинать, на остальных интерфейсах тоже кой чего навешано (несколькими поколениями сисадминов): Current configuration : 11662 bytes ! ! Last configuration change at 13:35:41 EEST Fri Mar 31 2006 by admin ! NVRAM config last updated at 09:58:43 EEST Thu Mar 30 2006 by admin ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname Land ! boot system flash:c1700-k9o3sy7-mz.123-2.XC2.bin logging buffered 16000 debugging logging rate-limit 10 enable secret 5 $1$.Z7C$WWYv7MuxxoHnx8bbbZuE50 ! username admin secret 5 $1$xAiT$gbDkpU4urGPMEwHxUWHPI1 clock timezone EET 2 clock summer-time EEST recurring last Sun Mar 3:00 last Sun Oct 4:00 aaa new-model ! Land#save !!!! 11662 bytes copied in 8.460 secs (1378 bytes/sec) Land#sh run Building configuration... Current configuration : 11662 bytes ! ! Last configuration change at 13:35:41 EEST Fri Mar 31 2006 by admin ! NVRAM config last updated at 09:58:43 EEST Thu Mar 30 2006 by admin ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname Land ! boot system flash:c1700-k9o3sy7-mz.123-2.XC2.bin logging buffered 16000 debugging logging rate-limit 10 enable secret 5 $1$.Z7C$WWYv7MuxxoHnx8bbbZuE50 ! username admin secret 5 $1$xAiT$gbDkpU4urGPMEwHxUWHPI1 clock timezone EET 2 clock summer-time EEST recurring last Sun Mar 3:00 last Sun Oct 4:00 aaa new-model ! ! aaa authentication login default local-case aaa authentication login NOPASSWORD none aaa authentication enable default enable aaa accounting delay-start aaa session-id common ip subnet-zero no ip rcmd domain-lookup ip rcmd rsh-enable ip rcmd remote-host admin 192.168.2.101 cisco enable ip rcmd remote-host admin 192.168.2.101 klim enable ip rcmd remote-host admin 192.168.2.101 root ! ! ip domain list xa.xa.xa ip domain name xa.xa.xa ip name-server 212.68.160.1 ip name-server 212.68.160.8 ip name-server 195.140.176.3 ip dhcp excluded-address 10.14.7.1 ! ip dhcp pool voice2 network 10.16.7.0 255.255.255.0 default-router 10.16.7.1 option 150 ip 212.109.53.214 ! ! ip dhcp class proba ! ip cef ip audit notify log ip audit po max-events 100 ip ssh time-out 60 ip ssh authentication-retries 2 no ftp-server write-enable ! ! ! ! ! crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 ! crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key 0 xyzdatland address 172.17.2.1 crypto isakmp key 0 xyzipland address 172.17.1.1 crypto isakmp key 0 xyzdatland address 10.255.1.1 crypto isakmp key 0 xyzdatland address 10.255.2.1 crypto isakmp key 0 xyzdatland address 10.255.3.1 crypto isakmp key 0 xyzdatland address 10.255.4.1 ! ! crypto ipsec transform-set set1 ah-md5-hmac esp-3des crypto ipsec transform-set set2 ah-md5-hmac esp-3des ! crypto map xyz11 10 ipsec-isakmp set peer 10.255.1.1 set transform-set set2 match address 102 ! crypto map xyz12 10 ipsec-isakmp set peer 10.255.2.1 set transform-set set2 match address 102 ! crypto map xyz13 10 ipsec-isakmp set peer 10.255.3.1 set transform-set set2 match address 102 ! crypto map xyz14 10 ipsec-isakmp set peer 10.255.4.1 set transform-set set2 match address 102 ! file prompt quiet no file verify auto ! no spanning-tree vlan 12 no spanning-tree vlan 13 ! ! class-map match-all DST_OPEN match access-group name DONT_BAN_DST ! ! policy-map CLASSIFY_DST class DST_OPEN set precedence 3 class class-default set precedence 2 ! ! ! interface Loopback1 ip address 172.16.1.1 255.255.255.0 ! interface Loopback2 ip address 172.16.2.1 255.255.255.0 ! interface Loopback3 ip address 172.16.3.1 255.255.255.0 ! interface Loopback4 ip address 172.16.4.1 255.255.255.0 ! interface FastEthernet0 no ip address ip accounting output-packets speed auto full-duplex ! interface FastEthernet0.1 encapsulation dot1Q 1 ip address 10.1.1.2 255.255.255.0 no ip proxy-arp ! interface FastEthernet0.16 encapsulation dot1Q 16 ip address 10.16.7.1 255.255.255.0 ! interface FastEthernet0.22 encapsulation dot1Q 22 ip address 10.10.22.2 255.255.255.252 ! interface FastEthernet0.192 encapsulation dot1Q 192 native ip address 192.168.2.1 255.255.255.0 ip access-group 122 in no ip proxy-arp ip accounting output-packets ip nat inside ! interface FastEthernet1 switchport access vlan 11 no ip address vlan-id dot1q 11 description IP phone vlan exit-vlan-config ! ! interface FastEthernet2 switchport access vlan 12 no ip address vlan-id dot1q 12 exit-vlan-config ! ! interface FastEthernet3 switchport access vlan 13 no ip address vlan-id dot1q 13 exit-vlan-config ! ! interface FastEthernet4 switchport access vlan 14 no ip address vlan-id dot1q 14 exit-vlan-config ! ! interface Serial0 description ISP Viaduk ip address 212.68.161.226 255.255.255.252 ip access-group VN_IN_CL in ip access-group VN_OUT_CL out no ip proxy-arp ip nat outside service-policy input CLASSIFY_DST encapsulation ppp shutdown fair-queue 256 1024 0 traffic-shape group 160 32000 7992 7992 1000 traffic-shape group 161 512000 12000 12000 1000 ! interface Vlan12 ip address 10.255.2.11 255.255.255.0 ip mtu 640 ! interface Vlan13 ip address 10.255.3.11 255.255.255.0 ip mtu 640 ! interface Vlan14 ip address 10.255.14.1 255.255.255.0 ip mtu 640 crypto map xyz14 ! interface Vlan11 ip address х.х.х.19 255.255.255.248 no ip proxy-arp ip nat outside fair-queue 256 1024 0 ! interface Vlan3 no ip address shutdown ! interface Vlan1 no ip address ! ip nat translation tcp-timeout 1200 ip nat pool HELIX х.х.х.20 х.х.х.20 netmask 255.255.255.248 ip nat inside source list CL_NAT_POOL interface Vlan11 overload ip nat inside source static tcp 192.168.2.6 25 х.х.х.19 25 extendable no-alias ip nat inside source static 192.168.2.101 х.х.х.20 ip classless ip route 0.0.0.0 0.0.0.0 х.х.х.17 ip route 10.10.20.0 255.255.255.252 10.10.22.1 ip route 10.13.7.0 255.255.255.0 10.10.22.1 ip route 10.15.7.0 255.255.255.0 10.10.22.1 ip route 192.168.0.0 255.255.255.0 Null0 ip route 192.168.100.0 255.255.255.0 10.255.2.1 ip route 212.109.53.209 255.255.255.255 10.10.22.1 ip route 212.109.53.214 255.255.255.255 10.10.22.1 no ip http server no ip http secure-server ! ! ! ip access-list extended CL_NAT_POOL deny ip any any precedence immediate deny ip 192.168.0.0 0.0.0.255 any permit ip 192.168.2.0 0.0.0.255 any deny ip host 192.168.2.101 any permit ip any any ip access-list extended CL_VPN permit ip х.х.х.16 0.0.0.5 any permit ip host х.х.х.20 any ip access-list extended DIALIN_NAT_ACL permit ip 192.168.0.0 0.0.0.127 any permit ip host 192.168.2.8 any ip access-list extended DONT_BAN_DST permit tcp any any eq www permit tcp any any eq pop3 permit tcp any any eq 443 permit tcp any any eq 995 permit tcp any 64.12.0.0 0.0.255.255 eq 5190 permit tcp any 205.188.0.0 0.0.255.255 eq 5190 permit icmp any any echo permit icmp any any packet-too-big permit icmp any any parameter-problem permit icmp any any source-quench permit icmp any any time-exceeded permit icmp any any traceroute permit icmp any any unreachable ip access-list extended FN_IN_CL deny ip 10.0.0.0 0.255.255.255 any deny ip 127.0.0.0 0.255.255.255 any evaluate REF_ACL permit ip any х.х.х.16 0.0.0.5 permit icmp any х.х.х.16 0.0.0.5 echo-reply permit icmp any х.х.х.16 0.0.0.5 unreachable permit icmp any х.х.х.16 0.0.0.5 source-quench permit icmp any х.х.х.16 0.0.0.5 time-exceeded permit icmp any х.х.х.16 0.0.0.5 parameter-problem permit tcp any х.х.х.16 0.0.0.5 established ip access-list extended FN_OUT_CL deny ip any 10.0.0.0 0.255.255.255 deny ip any 127.0.0.0 0.255.255.255 deny ip any 192.168.0.0 0.0.255.255 deny tcp any any eq smtp syn log deny tcp any any eq 135 syn log deny tcp any any eq 139 syn log deny tcp any any eq 445 syn log deny tcp any any eq 1080 syn log deny tcp any any eq 1433 syn log deny udp any any eq 1434 log permit ip х.х.х.16 0.0.0.5 any permit ip х.х.х.16 0.0.0.5 any reflect REF_ACL timeout 300 ip access-list extended VN_IN_CL deny ip 10.0.0.0 0.255.255.255 any deny ip 127.0.0.0 0.255.255.255 any permit ip any 212.68.161.224 0.0.0.7 permit icmp any 212.68.161.224 0.0.0.7 echo-reply permit icmp any 212.68.161.224 0.0.0.7 unreachable permit icmp any 212.68.161.224 0.0.0.7 source-quench permit icmp any 212.68.161.224 0.0.0.7 time-exceeded permit icmp any 212.68.161.224 0.0.0.7 parameter-problem permit tcp any 212.68.161.224 0.0.0.7 established evaluate REF_ACL permit ip any х.х.х.16 0.0.0.5 ip access-list extended VN_OUT_CL deny ip any 10.0.0.0 0.255.255.255 deny ip any 127.0.0.0 0.255.255.255 deny ip any 192.168.0.0 0.0.255.255 permit ip 212.68.161.224 0.0.0.7 any deny tcp any any eq smtp syn log deny tcp any any eq 135 syn log deny tcp any any eq 139 syn log deny tcp any any eq 445 syn log deny tcp any any eq 1080 syn log deny tcp any any eq 1433 syn log deny udp any any eq 1434 log permit ip 212.68.161.224 0.0.0.7 any reflect REF_ACL timeout 300 permit ip х.х.х.16 0.0.0.5 any access-list 2 remark NTP server access-list 2 permit 62.149.0.1 access-list 50 permit 10.13.7.20 access-list 50 permit 192.168.2.0 0.0.0.255 access-list 50 remark Host's access to terminal access-list 99 permit 10.255.11.0 0.0.0.255 access-list 99 permit 10.255.1.0 0.0.0.255 access-list 101 permit ip 10.16.7.0 0.0.0.255 10.15.7.0 0.0.0.255 access-list 102 permit ip 10.16.7.0 0.0.0.255 10.15.7.0 0.0.0.255 access-list 102 permit ip 192.168.2.0 0.0.0.255 10.13.7.0 0.0.0.255 access-list 102 permit ip 10.16.7.0 0.0.0.255 host 212.109.53.214 log access-list 102 permit ip 10.16.7.0 0.0.0.255 10.13.7.0 0.0.0.255 access-list 102 permit ip host 192.168.2.101 any access-list 121 deny udp any eq netbios-dgm any access-list 121 deny udp any eq netbios-ns any access-list 121 deny udp any eq netbios-ss any access-list 122 deny tcp any eq 137 any access-list 122 deny tcp any eq 138 any access-list 122 deny tcp any eq 139 any access-list 122 permit ip any any access-list 160 permit tcp host 212.68.161.226 any range 4600 4699 access-list 160 permit tcp host 212.68.161.226 eq 4662 any access-list 160 permit tcp host 212.68.161.226 any range 6666 6669 access-list 161 permit ip any any precedence immediate access-list 161 permit ip any any precedence flash access-list 180 deny ip any host 224.0.0.10 access-list 180 deny ip host 224.0.0.10 any access-list 180 permit ip any 192.168.100.0 0.0.0.255 access-list 180 permit ip any 10.255.2.0 0.0.0.255 access-list 180 permit ip any 10.255.3.0 0.0.0.255 access-list 180 permit ip 10.255.3.0 0.0.0.255 any access-list 180 permit ip 10.255.2.0 0.0.0.255 any access-list 180 permit ip 192.168.100.0 0.0.0.255 any access-list 196 deny ip host 10.255.1.1 any access-list 196 deny ip any host 10.255.1.1 access-list 196 permit ip any any access-list 197 permit ip host 10.13.7.157 any access-list 197 permit ip any host 10.13.7.157 access-list 198 deny ip host 10.13.7.12 any access-list 198 deny ip any host 10.13.7.12 access-list 198 deny ip host 224.0.0.9 any access-list 198 deny ip any host 224.0.0.9 access-list 198 permit ip 10.255.0.0 0.0.255.255 any access-list 198 permit ip any 10.255.0.0 0.0.255.255 access-list 198 permit ip any host 10.13.7.157 access-list 198 permit ip host 10.13.7.157 any access-list 199 permit ip 10.255.0.0 0.0.255.255 any access-list 199 permit ip any 10.255.0.0 0.0.255.255 snmp-server community XYZ RW snmp-server enable traps tty ! alias exec save copy running-config tftp://192.168.2.101/land/conf ! line con 0 exec-timeout 0 0 logging synchronous login authentication NOPASSWORD full-help escape-character 27 line aux 0 line vty 0 4 access-class 50 in exec-timeout 60 0 logging synchronous full-help transport preferred none transport input telnet ssh escape-character 27 ! no scheduler allocate ntp clock-period 17180049 ntp access-group peer 2 ntp server 62.149.0.1 ! end
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Static NAT, снова он родимый"
	Сообщение от Изгой (??) on 14-Фев-07, 10:24
	>>ip access-list extended CL_NAT_POOL >>deny ip any any precedence immediate >>deny ip 192.168.0.0 0.0.0.255 any >>permit ip 192.168.2.0 0.0.0.255 any >>deny ip host 192.168.2.101 any - хотя бы исходя из >>этого - это строка неработает так как правило выше пропускает этот >>хост. >>правда вверху строка deny ip any any precedence immediate - >>первый раз вижу может это новый вид аклов. >>permit ip any any - потом вот это за которую мне голову >>разбивали в детстве. >Это я всё по максимуму разрешал :). >Ладно, даю полный текущий конфиг. Просьба не пугаться и меня ногами не >пинать, на остальных интерфейсах тоже кой чего навешано (несколькими поколениями сисадминов): > >Current configuration : 11662 bytes >! >! Last configuration change at 13:35:41 EEST Fri Mar 31 2006 by >admin >! NVRAM config last updated at 09:58:43 EEST Thu Mar 30 2006 >by admin >! >version 12.3 >service timestamps debug datetime msec >service timestamps log datetime msec >service password-encryption >! >hostname Land >! >boot system flash:c1700-k9o3sy7-mz.123-2.XC2.bin >logging buffered 16000 debugging >logging rate-limit 10 >enable secret 5 $1$.Z7C$WWYv7MuxxoHnx8bbbZuE50 >! >username admin secret 5 $1$xAiT$gbDkpU4urGPMEwHxUWHPI1 >clock timezone EET 2 >clock summer-time EEST recurring last Sun Mar 3:00 last Sun Oct 4:00 > >aaa new-model >! > >Land#save >!!!! >11662 bytes copied in 8.460 secs (1378 bytes/sec) >Land#sh run >Building configuration... > >Current configuration : 11662 bytes >! >! Last configuration change at 13:35:41 EEST Fri Mar 31 2006 by >admin >! NVRAM config last updated at 09:58:43 EEST Thu Mar 30 2006 >by admin >! >version 12.3 >service timestamps debug datetime msec >service timestamps log datetime msec >service password-encryption >! >hostname Land >! >boot system flash:c1700-k9o3sy7-mz.123-2.XC2.bin >logging buffered 16000 debugging >logging rate-limit 10 >enable secret 5 $1$.Z7C$WWYv7MuxxoHnx8bbbZuE50 >! >username admin secret 5 $1$xAiT$gbDkpU4urGPMEwHxUWHPI1 >clock timezone EET 2 >clock summer-time EEST recurring last Sun Mar 3:00 last Sun Oct 4:00 > >aaa new-model >! >! >aaa authentication login default local-case >aaa authentication login NOPASSWORD none >aaa authentication enable default enable >aaa accounting delay-start >aaa session-id common >ip subnet-zero >no ip rcmd domain-lookup >ip rcmd rsh-enable >ip rcmd remote-host admin 192.168.2.101 cisco enable >ip rcmd remote-host admin 192.168.2.101 klim enable >ip rcmd remote-host admin 192.168.2.101 root >! >! >ip domain list xa.xa.xa >ip domain name xa.xa.xa >ip name-server 212.68.160.1 >ip name-server 212.68.160.8 >ip name-server 195.140.176.3 >ip dhcp excluded-address 10.14.7.1 >! >ip dhcp pool voice2 > network 10.16.7.0 255.255.255.0 > default-router 10.16.7.1 > option 150 ip 212.109.53.214 >! >! >ip dhcp class proba >! >ip cef >ip audit notify log >ip audit po max-events 100 >ip ssh time-out 60 >ip ssh authentication-retries 2 >no ftp-server write-enable >! >! >! >! >! >crypto isakmp policy 1 > encr 3des > hash md5 > authentication pre-share > group 2 >! >crypto isakmp policy 10 > encr 3des > hash md5 > authentication pre-share > group 2 >crypto isakmp key 0 xyzdatland address 172.17.2.1 >crypto isakmp key 0 xyzipland address 172.17.1.1 >crypto isakmp key 0 xyzdatland address 10.255.1.1 >crypto isakmp key 0 xyzdatland address 10.255.2.1 >crypto isakmp key 0 xyzdatland address 10.255.3.1 >crypto isakmp key 0 xyzdatland address 10.255.4.1 >! >! >crypto ipsec transform-set set1 ah-md5-hmac esp-3des >crypto ipsec transform-set set2 ah-md5-hmac esp-3des >! >crypto map xyz11 10 ipsec-isakmp > set peer 10.255.1.1 > set transform-set set2 > match address 102 >! >crypto map xyz12 10 ipsec-isakmp > set peer 10.255.2.1 > set transform-set set2 > match address 102 >! >crypto map xyz13 10 ipsec-isakmp > set peer 10.255.3.1 > set transform-set set2 > match address 102 >! >crypto map xyz14 10 ipsec-isakmp > set peer 10.255.4.1 > set transform-set set2 > match address 102 >! >file prompt quiet >no file verify auto >! >no spanning-tree vlan 12 >no spanning-tree vlan 13 >! >! > class-map match-all DST_OPEN > match access-group name DONT_BAN_DST >! >! > policy-map CLASSIFY_DST > class DST_OPEN > set precedence 3 > class class-default > set precedence 2 >! >! >! >interface Loopback1 > ip address 172.16.1.1 255.255.255.0 >! >interface Loopback2 > ip address 172.16.2.1 255.255.255.0 >! >interface Loopback3 > ip address 172.16.3.1 255.255.255.0 >! >interface Loopback4 > ip address 172.16.4.1 255.255.255.0 >! >interface FastEthernet0 > no ip address > ip accounting output-packets > speed auto > full-duplex >! >interface FastEthernet0.1 > encapsulation dot1Q 1 > ip address 10.1.1.2 255.255.255.0 > no ip proxy-arp >! >interface FastEthernet0.16 > encapsulation dot1Q 16 > ip address 10.16.7.1 255.255.255.0 >! >interface FastEthernet0.22 > encapsulation dot1Q 22 > ip address 10.10.22.2 255.255.255.252 >! >interface FastEthernet0.192 > encapsulation dot1Q 192 native > ip address 192.168.2.1 255.255.255.0 > ip access-group 122 in > no ip proxy-arp > ip accounting output-packets > ip nat inside >! >interface FastEthernet1 > switchport access vlan 11 > no ip address > vlan-id dot1q 11 > description IP phone vlan > exit-vlan-config > ! >! >interface FastEthernet2 > switchport access vlan 12 > no ip address > vlan-id dot1q 12 > exit-vlan-config > ! >! >interface FastEthernet3 > switchport access vlan 13 > no ip address > vlan-id dot1q 13 > exit-vlan-config > ! >! >interface FastEthernet4 > switchport access vlan 14 > no ip address > vlan-id dot1q 14 > exit-vlan-config > ! >! >interface Serial0 > description ISP Viaduk > ip address 212.68.161.226 255.255.255.252 > ip access-group VN_IN_CL in > ip access-group VN_OUT_CL out > no ip proxy-arp > ip nat outside > service-policy input CLASSIFY_DST > encapsulation ppp > shutdown > fair-queue 256 1024 0 > traffic-shape group 160 32000 7992 7992 1000 > traffic-shape group 161 512000 12000 12000 1000 >! >interface Vlan12 > ip address 10.255.2.11 255.255.255.0 > ip mtu 640 >! >interface Vlan13 > ip address 10.255.3.11 255.255.255.0 > ip mtu 640 >! >interface Vlan14 > ip address 10.255.14.1 255.255.255.0 > ip mtu 640 > crypto map xyz14 >! >interface Vlan11 > ip address х.х.х.19 255.255.255.248 > no ip proxy-arp > ip nat outside > fair-queue 256 1024 0 >! >interface Vlan3 > no ip address > shutdown >! >interface Vlan1 > no ip address >! >ip nat translation tcp-timeout 1200 >ip nat pool HELIX х.х.х.20 х.х.х.20 netmask 255.255.255.248 >ip nat inside source list CL_NAT_POOL interface Vlan11 overload >ip nat inside source static tcp 192.168.2.6 25 х.х.х.19 25 extendable no-alias > >ip nat inside source static 192.168.2.101 х.х.х.20 >ip classless >ip route 0.0.0.0 0.0.0.0 х.х.х.17 >ip route 10.10.20.0 255.255.255.252 10.10.22.1 >ip route 10.13.7.0 255.255.255.0 10.10.22.1 >ip route 10.15.7.0 255.255.255.0 10.10.22.1 >ip route 192.168.0.0 255.255.255.0 Null0 >ip route 192.168.100.0 255.255.255.0 10.255.2.1 >ip route 212.109.53.209 255.255.255.255 10.10.22.1 >ip route 212.109.53.214 255.255.255.255 10.10.22.1 >no ip http server >no ip http secure-server >! >! >! >ip access-list extended CL_NAT_POOL > deny ip any any precedence immediate > deny ip 192.168.0.0 0.0.0.255 any > permit ip 192.168.2.0 0.0.0.255 any > deny ip host 192.168.2.101 any > permit ip any any >ip access-list extended CL_VPN > permit ip х.х.х.16 0.0.0.5 any > permit ip host х.х.х.20 any >ip access-list extended DIALIN_NAT_ACL > permit ip 192.168.0.0 0.0.0.127 any > permit ip host 192.168.2.8 any >ip access-list extended DONT_BAN_DST > permit tcp any any eq www > permit tcp any any eq pop3 > permit tcp any any eq 443 > permit tcp any any eq 995 > permit tcp any 64.12.0.0 0.0.255.255 eq 5190 > permit tcp any 205.188.0.0 0.0.255.255 eq 5190 > permit icmp any any echo > permit icmp any any packet-too-big > permit icmp any any parameter-problem > permit icmp any any source-quench > permit icmp any any time-exceeded > permit icmp any any traceroute > permit icmp any any unreachable >ip access-list extended FN_IN_CL > deny ip 10.0.0.0 0.255.255.255 any > deny ip 127.0.0.0 0.255.255.255 any > evaluate REF_ACL > permit ip any х.х.х.16 0.0.0.5 > permit icmp any х.х.х.16 0.0.0.5 echo-reply > permit icmp any х.х.х.16 0.0.0.5 unreachable > permit icmp any х.х.х.16 0.0.0.5 source-quench > permit icmp any х.х.х.16 0.0.0.5 time-exceeded > permit icmp any х.х.х.16 0.0.0.5 parameter-problem > permit tcp any х.х.х.16 0.0.0.5 established >ip access-list extended FN_OUT_CL > deny ip any 10.0.0.0 0.255.255.255 > deny ip any 127.0.0.0 0.255.255.255 > deny ip any 192.168.0.0 0.0.255.255 > deny tcp any any eq smtp syn log > deny tcp any any eq 135 syn log > deny tcp any any eq 139 syn log > deny tcp any any eq 445 syn log > deny tcp any any eq 1080 syn log > deny tcp any any eq 1433 syn log > deny udp any any eq 1434 log > permit ip х.х.х.16 0.0.0.5 any > permit ip х.х.х.16 0.0.0.5 any reflect REF_ACL timeout 300 >ip access-list extended VN_IN_CL > deny ip 10.0.0.0 0.255.255.255 any > deny ip 127.0.0.0 0.255.255.255 any > permit ip any 212.68.161.224 0.0.0.7 > permit icmp any 212.68.161.224 0.0.0.7 echo-reply > permit icmp any 212.68.161.224 0.0.0.7 unreachable > permit icmp any 212.68.161.224 0.0.0.7 source-quench > permit icmp any 212.68.161.224 0.0.0.7 time-exceeded > permit icmp any 212.68.161.224 0.0.0.7 parameter-problem > permit tcp any 212.68.161.224 0.0.0.7 established > evaluate REF_ACL > permit ip any х.х.х.16 0.0.0.5 >ip access-list extended VN_OUT_CL > deny ip any 10.0.0.0 0.255.255.255 > deny ip any 127.0.0.0 0.255.255.255 > deny ip any 192.168.0.0 0.0.255.255 > permit ip 212.68.161.224 0.0.0.7 any > deny tcp any any eq smtp syn log > deny tcp any any eq 135 syn log > deny tcp any any eq 139 syn log > deny tcp any any eq 445 syn log > deny tcp any any eq 1080 syn log > deny tcp any any eq 1433 syn log > deny udp any any eq 1434 log > permit ip 212.68.161.224 0.0.0.7 any reflect REF_ACL timeout 300 > permit ip х.х.х.16 0.0.0.5 any >access-list 2 remark NTP server >access-list 2 permit 62.149.0.1 >access-list 50 permit 10.13.7.20 >access-list 50 permit 192.168.2.0 0.0.0.255 >access-list 50 remark Host's access to terminal >access-list 99 permit 10.255.11.0 0.0.0.255 >access-list 99 permit 10.255.1.0 0.0.0.255 >access-list 101 permit ip 10.16.7.0 0.0.0.255 10.15.7.0 0.0.0.255 >access-list 102 permit ip 10.16.7.0 0.0.0.255 10.15.7.0 0.0.0.255 >access-list 102 permit ip 192.168.2.0 0.0.0.255 10.13.7.0 0.0.0.255 >access-list 102 permit ip 10.16.7.0 0.0.0.255 host 212.109.53.214 log >access-list 102 permit ip 10.16.7.0 0.0.0.255 10.13.7.0 0.0.0.255 >access-list 102 permit ip host 192.168.2.101 any >access-list 121 deny udp any eq netbios-dgm any >access-list 121 deny udp any eq netbios-ns any >access-list 121 deny udp any eq netbios-ss any >access-list 122 deny tcp any eq 137 any >access-list 122 deny tcp any eq 138 any >access-list 122 deny tcp any eq 139 any >access-list 122 permit ip any any >access-list 160 permit tcp host 212.68.161.226 any range 4600 4699 >access-list 160 permit tcp host 212.68.161.226 eq 4662 any >access-list 160 permit tcp host 212.68.161.226 any range 6666 6669 >access-list 161 permit ip any any precedence immediate >access-list 161 permit ip any any precedence flash >access-list 180 deny ip any host 224.0.0.10 >access-list 180 deny ip host 224.0.0.10 any >access-list 180 permit ip any 192.168.100.0 0.0.0.255 >access-list 180 permit ip any 10.255.2.0 0.0.0.255 >access-list 180 permit ip any 10.255.3.0 0.0.0.255 >access-list 180 permit ip 10.255.3.0 0.0.0.255 any >access-list 180 permit ip 10.255.2.0 0.0.0.255 any >access-list 180 permit ip 192.168.100.0 0.0.0.255 any >access-list 196 deny ip host 10.255.1.1 any >access-list 196 deny ip any host 10.255.1.1 >access-list 196 permit ip any any >access-list 197 permit ip host 10.13.7.157 any >access-list 197 permit ip any host 10.13.7.157 >access-list 198 deny ip host 10.13.7.12 any >access-list 198 deny ip any host 10.13.7.12 >access-list 198 deny ip host 224.0.0.9 any >access-list 198 deny ip any host 224.0.0.9 >access-list 198 permit ip 10.255.0.0 0.0.255.255 any >access-list 198 permit ip any 10.255.0.0 0.0.255.255 >access-list 198 permit ip any host 10.13.7.157 >access-list 198 permit ip host 10.13.7.157 any >access-list 199 permit ip 10.255.0.0 0.0.255.255 any >access-list 199 permit ip any 10.255.0.0 0.0.255.255 >snmp-server community XYZ RW >snmp-server enable traps tty >! >alias exec save copy running-config tftp://192.168.2.101/land/conf >! >line con 0 > exec-timeout 0 0 > logging synchronous > login authentication NOPASSWORD > full-help > escape-character 27 >line aux 0 >line vty 0 4 > access-class 50 in > exec-timeout 60 0 > logging synchronous > full-help > transport preferred none > transport input telnet ssh > escape-character 27 >! >no scheduler allocate >ntp clock-period 17180049 >ntp access-group peer 2 >ntp server 62.149.0.1 >! >end Пинг с сервера проходит ? , почтовый точно работает?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Static NAT, снова он родимый"
	Сообщение от olessandro (??) on 14-Фев-07, 10:39
	>Пинг с сервера проходит ? , почтовый точно работает? Спасибо за помощь, но, как это иногда бывает, проблема перешла в разряд мистики. Сегодня с утра всё ЗАРАБОТАЛО без какого-либо вмешательства с моей стороны, а больше вмешиваться некому. Ещё вчера поздно вечером никакого отклика с сервера из дому не получал. Сиди теперь и думай, есть ли волшебство? :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Static NAT, снова он родимый"
	Сообщение от Изгой (??) on 14-Фев-07, 11:54
	>>Пинг с сервера проходит ? , почтовый точно работает? >Спасибо за помощь, но, как это иногда бывает, проблема перешла в разряд >мистики. Сегодня с утра всё ЗАРАБОТАЛО без какого-либо вмешательства с моей >стороны, а больше вмешиваться некому. Ещё вчера поздно вечером никакого отклика >с сервера из дому не получал. Сиди теперь и думай, есть >ли волшебство? :) Ой что то чуток дописали, совсем немного ? -) аа ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Static NAT, снова он родимый"
	Сообщение от olessandro (??) on 14-Фев-07, 12:49
	>Ой что то чуток дописали, совсем немного ? -) аа ? =). Конфиг один к одному с указанным, только permit ip any any поубирал
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]