форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Как выпустить машину на диапазон внешних портов ?"

Сообщение от Guuk (ok) on 19-Апр-07, 03:30

Имеется вполне рабочая конфигурация. 192.168.0.6 и 192.168.1.6 - адреса прокси , через который все из 192.168.0.x ходят в интернет. Возникла необходимость выпустить одну машину мимо прокси на диапазон портов (1001-2022). Вот софт требующий эти порты: http://www.fxclub.org/tools_soft_idsproxy/ Если я в машине 192.168.0.250 добавляю еще один IP (192.168.1.250) А в 101 лист добавляю : access-list 101 permit ip host 192.168.1.250 any То машина идет мимо прокси и получает весь инет нахаляву, что нехорошо :) Пробовал: access-list 101 permit tcp host 192.168.1.250 any range 1000 2022 Не пускает эту машину на эти порты. Может я чего не так делаю ? Ниже кусок конфига. cisco 3660 version 12.2 ! ! interface FastEthernet0/0 ip address 192.168.0.10 255.255.255.0 secondary ip address 192.168.1.1 255.255.255.0 ip directed-broadcast ip nat inside no ip mroute-cache ip policy route-map upr_01 duplex auto speed auto no cdp enable !         interface FastEthernet6/0 ip address x.x.x.154 x.x.x.x ip access-group 110 in ip access-group 111 out ip nat outside speed 10 full-duplex no cdp enable !         !         ip nat inside source list 101 interface FastEthernet6/0 overload ip classless ip route 0.0.0.0 0.0.0.0 x.x.x.153 no ip http server !         no logging trap access-list 101 permit ip host 192.168.1.6 any access-list 102 deny   ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 102 deny   ip 192.168.1.0 0.0.0.255 any access-list 102 permit ip 192.168.0.0 0.0.0.255 any access-list 110 permit ip any host x.x.x.154 access-list 111 permit ip host x.x.x.154 any no cdp run !         !         route-map upr_01 permit 10 match ip address 102 set ip next-hop 192.168.0.6 !

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Как выпустить машину на диапазон внешних портов ?"

Сообщение от AiratX on 20-Апр-07, 08:38

access-list 101 permit tcp host 192.168.1.250 any range 1001 2022

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Как выпустить машину на диапазон внешних портов ?"
	Сообщение от Guuk (ok) on 20-Апр-07, 11:47
	>access-list 101 permit tcp host 192.168.1.250 any range 1001 2022 Я так и пробовал и не ходит машина на эти порты. Похоже permit tcp у меня вообще не срабатывает. Я пробовал на этой машине убрать IP 192.168.0.250 и оставить только 192.168.1.250 и делал для нее access-list 101 permit tcp host 192.168.1.250 any eq 80 но она таким способом и в инет не ходит.При этом по sh ip accsess-list видим: Extended IP access list 101      permit ip host 192.168.1.6 any (156457 matches) permit tcp host 192.168.1.250 any eq 80    - ничего !!! Может я где туплю ? Кстати еще попутно : sh ip nat tr срабатывет нормально , а при sh ip nat st циска зависает надолго.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Как выпустить машину на диапазон внешних портов ?"
	Сообщение от AiratX on 20-Апр-07, 13:33
	попробуй убрать route-map upr_01
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Как выпустить машину на диапазон внешних портов ?"
	Сообщение от Guuk (ok) on 20-Апр-07, 14:13
	>попробуй убрать >route-map upr_01 Сейчас попробовать не могу. У нас уже ночь. Но я пробовал убирать 102 лист и результат прежний. Попробую завтра. Может есть еще варианты которые можно опробовать. Спасибо.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Как выпустить машину на диапазон внешних портов ?"
	Сообщение от AiratX on 20-Апр-07, 16:25
	вот так должно работать ! ! interface FastEthernet0/0 ip address 192.168.0.10 255.255.255.0 secondary ip address 192.168.1.1 255.255.255.0 ip directed-broadcast ip nat inside no ip mroute-cache duplex auto speed auto no cdp enable !         interface FastEthernet6/0 ip address x.x.x.154 x.x.x.x ip access-group 110 in ip access-group 111 out ip nat outside no ip mroute-cache speed 10 full-duplex no cdp enable !         !         ip nat inside source list 101 interface FastEthernet6/0 overload ip classless ip route 0.0.0.0 0.0.0.0 x.x.x.153 no ip http server !         no logging trap access-list 101 permit ip host 192.168.1.6 any access-list 101 permit tcp host 192.168.1.250 any range 1001 2022 access-list 110 permit ip any host x.x.x.154 access-list 111 permit ip host x.x.x.154 any no cdp run !         !
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Как выпустить машину на диапазон внешних портов ?"
	Сообщение от Guuk (ok) on 23-Апр-07, 09:46
	>вот так должно работать >! >! >interface FastEthernet0/0 >ip address 192.168.0.10 255.255.255.0 secondary >ip address 192.168.1.1 255.255.255.0 >ip directed-broadcast >ip nat inside >no ip mroute-cache >duplex auto >speed auto >no cdp enable >! >interface FastEthernet6/0 >ip address x.x.x.154 x.x.x.x >ip access-group 110 in >ip access-group 111 out >ip nat outside >no ip mroute-cache >speed 10 >full-duplex >no cdp enable >! >! >ip nat inside source list 101 interface FastEthernet6/0 overload >ip classless >ip route 0.0.0.0 0.0.0.0 x.x.x.153 >no ip http server >! >no logging trap >access-list 101 permit ip host 192.168.1.6 any >access-list 101 permit tcp host 192.168.1.250 any range 1001 2022 >access-list 110 permit ip any host x.x.x.154 >access-list 111 permit ip host x.x.x.154 any >no cdp run >! >! Сам поражаюсь, но не работает. Уже кажется в конфиге все по минимуму. Может вам подскажет Route Print на испытуемой машине: Активные маршруты:   Сетевой адрес            Маска    Адрес шлюза            Интерфейс  Метрика           0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.250       1         127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1       1       192.168.1.0    255.255.255.0    192.168.1.250    192.168.1.250       1     192.168.1.250  255.255.255.255        127.0.0.1        127.0.0.1       1     192.168.1.255  255.255.255.255    192.168.1.250    192.168.1.250       1         224.0.0.0        224.0.0.0    192.168.1.250    192.168.1.250       1   255.255.255.255  255.255.255.255    192.168.1.250    192.168.1.250       1
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Как выпустить машину на диапазон внешних портов ?"
	Сообщение от intellegent on 23-Апр-07, 10:03
	Слушай, насчет это проги и диапазона портов? Правильно ли я понимаю, что на эти порты будут к тебе обращаться? Т.е. пакеты будет приходить из internet нтвой роутер на адрес x.x.x.154 destination port 1001 2022?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Как выпустить машину на диапазон внешних портов ?"
	Сообщение от Guuk (ok) on 23-Апр-07, 11:53
	>Слушай, насчет это проги и диапазона портов? Правильно ли я понимаю, что >на эти порты будут к тебе обращаться? Т.е. пакеты будет приходить >из internet нтвой роутер на адрес x.x.x.154 destination port 1001 2022? > Нет. Эта прога будет ходить на эти порты в интернете. Если ты хотел предложить нечто вроде: ip nat inside sourrce static tcp 192.168.1.250 ....   то мне это наверно не поможет. Вроде все должно быть очень просто, как в классическом примере про выпуск одной машины в инет: access-list 101 permit tcp host 192.168.1.250 any eq 80 но и в инет таким способом машину не пускает :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Как выпустить машину на диапазон внешних портов ?"

Сообщение от intellegent on 20-Апр-07, 16:34

Что-то мне подсказывает, что NAT не работает, потому что на FA6/0 весят два access-list, которые запрещают выход пакетов с хоста 192.168.1.6 наружу. Ради эксперимента убери с Fa6/0 acl 110 и 111 и повесь туда acl 101. Должно заработать...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Как выпустить машину на диапазон внешних портов ?"
	Сообщение от AiratX on 20-Апр-07, 16:43
	>Что-то мне подсказывает, что NAT не работает, потому что на FA6/0 весят >два access-list, которые запрещают выход пакетов с хоста 192.168.1.6 наружу. Ради >эксперимента убери с Fa6/0 acl 110 и 111 и повесь туда >acl 101. Должно заработать... Изначально говорилось - "192.168.0.6 и 192.168.1.6 - адреса прокси , через который все из 192.168.0.x ходят в интернет" из этого следует что прокси в инет ходит, а значит NAT работает
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Как выпустить машину на диапазон внешних портов ?"
	Сообщение от intellegent on 20-Апр-07, 16:53
	>>Что-то мне подсказывает, что NAT не работает, потому что на FA6/0 весят >>два access-list, которые запрещают выход пакетов с хоста 192.168.1.6 наружу. Ради >>эксперимента убери с Fa6/0 acl 110 и 111 и повесь туда >>acl 101. Должно заработать... > >Изначально говорилось - >"192.168.0.6 и 192.168.1.6 - адреса прокси , через который все из 192.168.0.x >ходят >в интернет" >из этого следует что прокси в инет ходит, а значит NAT работает > Виноват, исправлюсь...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]