forum.opennet.ru - "HELP!!! Не могу больше бороться с натом" (10)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"HELP!!! Не могу больше бороться с натом"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"HELP!!! Не могу больше бороться с натом"
Сообщение от presstudio (ok) on 26-Июл-07, 10:22
Проблема такая: надо чтобы комп. с ip=10.10.1.45 из локальной сетки выходил в интернет с внешним ip=xx.yy.125.200/ сделал ip nat inside source list 1 interface Serial0/0 overload ip nat inside source static 10.10.1.45 xx.yy.125.200 extendable захожу с этого компа в нет смотрю свой ip - все верно xx.yy.125.200. теперь удаленно пытаюсь зайти на этот комп. - не получается. Пинг до xx.yy.125.200 идет с любой точки планеты, но только до компа с этим внешним ip не доходит не одного пакета из внешней сети. Т.е. я не пойму кто отвечает на этот пинг. выходит циска. ЧАВо делать? Все перерыл. не могу найти где тут косяк. PLEASE HELP!!! version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption no service dhcp ! hostname main ! boot-start-marker boot system flash c2600-ipbasek9-mz.124-8.bin boot-end-marker ! logging buffered 16384 debugging ! aaa new-model aaa session-mib disconnect ! ! ! aaa session-id common ! resource policy ! clock timezone IRKT 8 no network-clock-participate slot 1 no network-clock-participate wic 0 no ip source-route ip cef ! ! ! ! no ip bootp server ip domain list www.ru no ip domain lookup ip domain name www.ru ip name-server xx.yy.116.1 ip name-server xx.yy.125.3 ip address-pool dhcp-pool ip accounting-list 0.0.0.2 255.255.255.252 ip accounting-list 0.0.0.0 255.255.255.0 ip rcmd rsh-enable ! ! class-map match-any http-hacks match protocol http url "default.ida" match protocol http url "x.ida" match protocol http url "cmd.exe" match protocol http url "root.exe" ! ! policy-map mark-inbound-http-hacks class http-hacks set ip dscp 1 ! ! ! interface Loopback0 no ip address no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow ! interface FastEthernet0/0 no ip address no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow duplex auto speed auto no cdp enable ! interface FastEthernet0/0.1 encapsulation dot1Q 1 native ip nat inside ! interface FastEthernet0/0.10 encapsulation dot1Q 10 ip address xx.xx.125.1 255.255.255.0 ip access-group eth in no ip redirects no ip unreachables no ip proxy-arp ip nat inside ! interface FastEthernet0/0.11 description local_net encapsulation dot1Q 11 ip address 192.168.0.254 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ! interface FastEthernet0/0.30 encapsulation dot1Q 30 ip address 10.10.1.254 255.255.255.0 no ip unreachables ip nat inside ! ! interface Serial0/0 bandwidth 2048 ip address xx.yy.zz.218 255.255.255.252 ip access-group in_block in ip access-group out_block out ip nat outside rate-limit input access-group 146 64000 8000 8000 conform-action transmit exceed-action drop rate-limit input access-group 149 512000 8000 8000 conform-action transmit exceed-action drop rate-limit input access-group 148 64000 8000 8000 conform-action transmit exceed-action drop rate-limit input access-group 147 64000 8000 8000 conform-action transmit exceed-action drop no logging event link-status no fair-queue service-policy input mark-inbound-http-hacks ! interface Serial0/1 ip address xx.yy.zz.218 255.255.255.252 shutdown ! ip route 0.0.0.0 0.0.0.0 xx.yy.zz.217 ip flow-export source Loopback0 ip flow-export version 9 ip flow-export destination xx.yy.125.13 9001 ! no ip http server no ip http secure-server ip nat inside source list 1 interface Serial0/0 overload ip nat inside source static 10.10.1.45 xx.yy.125.200 extendable ! ip access-list standard eth permit 10.10.3.11 permit xx.yy.125.199 permit xx.yy.125.200 permit xx.yy.125.201 permit xx.yy.125.202 permit xx.yy.125.203 permit xx.yy.125.205 permit xx.yy.125.30 permit xx.yy.125.1 permit xx.yy.125.2 permit xx.yy.125.3 permit xx.yy.125.4 permit xx.yy.125.5 permit 10.0.0.0 0.255.255.255 permit 192.168.0.0 0.0.0.255 ! ip access-list extended in_block deny udp any any range netbios-ns netbios-ss deny tcp any any range 135 139 deny tcp any any eq 445 deny udp any any eq 31337 deny udp any any eq 22 deny tcp any any range exec lpd deny udp any any eq sunrpc deny tcp any any eq sunrpc deny udp any any eq xdmcp deny tcp any any eq 177 deny tcp any any range 6000 6063 deny udp any any range 6000 6063 deny udp any any range biff syslog deny tcp any any eq 11 deny udp any any eq tftp deny udp any any range snmp snmptrap deny tcp any any eq 1433 permit ip any any permit ip xx.0.0.0 0.255.255.255 any permit ip any xx.0.0.0 0.255.255.255 permit ip 10.0.0.0 0.255.255.255 any deny ip 127.0.0.0 0.255.255.255 any deny ip 192.168.0.0 0.0.255.255 any deny ip 10.0.0.0 0.255.255.255 any ip access-list extended out_block permit ip any any ! logging trap debugging logging facility local6 logging source-interface Loopback0 logging xx.xx.125.3 access-list 1 permit 192.168.0.101 access-list 1 permit 192.168.0.8 access-list 1 permit 10.0.0.0 0.255.255.255 access-list 2 permit 10.0.0.0 0.255.255.255 access-list 10 permit 10.0.0.0 0.0.0.255 access-list 102 permit ip any xx.xx.125.0 0.0.0.255 access-list 102 permit ip 10.0.0.0 0.0.0.255 any access-list 145 permit ip any host xx.xx.125.5 access-list 146 permit ip any host xx.xx.125.8 access-list 147 permit ip any host xx.xx.125.7 access-list 148 permit ip any host xx.xx.125.10 access-list 149 permit ip any host xx.xx.125.205 access-list rate-limit 0 0 snmp-server enable traps tty
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

HELP!!! Не могу больше бороться с натом, weris, 10:37 , 26-Июл-07, (1)

HELP!!! Не могу больше бороться с натом, presstudio, 08:48 , 27-Июл-07, (2)

HELP!!! Не могу больше бороться с натом, Xela, 10:33 , 27-Июл-07, (3)

HELP!!! Не могу больше бороться с натом, presstudio, 10:48 , 27-Июл-07, (4)

HELP!!! Не могу больше бороться с натом, Xela, 10:52 , 27-Июл-07, (5)

HELP!!! Не могу больше бороться с натом, presstudio, 19:49 , 27-Июл-07, (6)

HELP!!! Не могу больше бороться с натом, Basil, 17:09 , 29-Июл-07, (7)

HELP!!! Не могу больше бороться с натом, presstudio, 03:59 , 30-Июл-07, (8)
HELP!!! Не могу больше бороться с натом, presstudio, 04:46 , 30-Июл-07, (9)

HELP!!! Не могу больше бороться с натом, presstudio, 07:13 , 30-Июл-07, (10)

Сообщения по теме [Сортировка по времени, UBB]

1. "HELP!!! Не могу больше бороться с натом"

Сообщение от weris (??) on 26-Июл-07, 10:37

>ip nat inside source list 1 interface Serial0/0 overload
>ip nat inside source static 10.10.1.45 xx.yy.125.200 extendable
вот так попробуй
ip nat pool test2 xx.yy.125.200 xx.yy.125.200 prefix-length 28
ip nat inside source list 3 pool test2 overload
ip nat inside source static 10.10.1.45 xx.yy.125.200 extendable
access-list 3 permit host 10.10.1.45

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "HELP!!! Не могу больше бороться с натом"

Сообщение от presstudio (ok) on 27-Июл-07, 08:48

>>ip nat inside source list 1 interface Serial0/0 overload
>>ip nat inside source static 10.10.1.45 xx.yy.125.200 extendable
>
>вот так попробуй
>
>ip nat pool test2 xx.yy.125.200 xx.yy.125.200 prefix-length 28
>ip nat inside source list 3 pool test2 overload
>ip nat inside source static 10.10.1.45 xx.yy.125.200 extendable
>
>access-list 3 permit host 10.10.1.45
Как и следовало ожидать:
Тоже самое...... уже не знаю чего выдумать

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "HELP!!! Не могу больше бороться с натом"

Сообщение от Xela (ok) on 27-Июл-07, 10:33

> interface FastEthernet0/0.10
> encapsulation dot1Q 10
> ip address xx.xx.125.1 255.255.255.0
> ip access-group eth in
> no ip redirects
> no ip unreachables
> no ip proxy-arp
> ip nat inside
Почему здесь inside ? Разве не outside должен быть на внешнем интерфейсе???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "HELP!!! Не могу больше бороться с натом"

Сообщение от presstudio (ok) on 27-Июл-07, 10:48

>[оверквотинг удален]
>> encapsulation dot1Q 10
>> ip address xx.xx.125.1 255.255.255.0
>> ip access-group eth in
>> no ip redirects
>> no ip unreachables
>> no ip proxy-arp
>> ip nat inside
>
>Почему здесь inside ? Разве не outside должен быть на внешнем интерфейсе???
>
Ищем внешний......
находим:
interface Serial0/0
bandwidth 2048
ip address xx.xx.zz.218 255.255.255.252
ip access-group in_block in
ip access-group out_block out
ip nat outside

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "HELP!!! Не могу больше бороться с натом"

Сообщение от Xela (ok) on 27-Июл-07, 10:52

>interface Serial0/0
> bandwidth 2048
> ip address xx.xx.zz.218 255.255.255.252
> ip access-group in_block in
> ip access-group out_block out
> ip nat outside
О! Мильпардон. Не заметил.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "HELP!!! Не могу больше бороться с натом"

Сообщение от presstudio (ok) on 27-Июл-07, 19:49

Тема становится все актуальнее с каждым часом

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "HELP!!! Не могу больше бороться с натом"

Сообщение от Basil (??) on 29-Июл-07, 17:09

>Тема становится все актуальнее с каждым часом
Попробуйте debug ip nat и посмотреть, что происходит

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "HELP!!! Не могу больше бороться с натом"

Сообщение от presstudio (ok) on 30-Июл-07, 03:59

а происходит собственно....
Мне кажется все красиво....
Jul 30 08:40:44 main-gateway 136: .Jul 29 23:42:35.552: NAT*: s=195.46.102.114,
d=xx.zz.yy.200->10.10.1.45 [46847
Jul 30 08:40:44 main-gateway 137: .Jul 29 23:42:35.564: NAT*: s=10.10.1.45->xx.zz.yy.200, d=195.46.102.114 [48294
d=xx.yy.zz.200->10.10.1.45 [47092
Jul 30 08:40:44 main-gateway 146: .Jul 29 23:42:35.709: NAT*: s=195.46.102.114, d=xx.yy.zz.200->10.10.1.45 [47473
Jul 30 08:40:44 main-gateway 147: .Jul 29 23:42:35.733: NAT*: s=10.10.1.45->xx.yy.zz.200, d=195.46.102.114 [48295
Jul 30 08:40:45 main-gateway 158: .Jul 29 23:42:35.801: NAT*: s=195.46.102.114, d=xx.yy.zz.200->10.10.1.45 [48001
Jul 30 08:40:45 main-gateway 160: .Jul 29 23:42:35.886: NAT*: s=195.46.102.114, d=xx.yy.zz.200->10.10.1.45 [48418
Jul 30 08:40:45 main-gateway 162: .Jul 29 23:42:35.910: NAT*: s=10.10.1.45->xx.yy.zz.200, d=195.46.102.114 [48296

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "HELP!!! Не могу больше бороться с натом"

Сообщение от presstudio (ok) on 30-Июл-07, 04:46

и еще:
Схема выглядит так
Пограничный маршрутизатор на котором прописываем ip nat inside
Далее Catalysta, а от нее на Dslam.
на каталисте пакеты ходят вот через этот vlan
interface Vlan30
ip address 10.10.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
Может быть тут какая загвоздка. Потому как идет пинг xx.zz.yy.200, а чего пингуем не понятно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "HELP!!! Не могу больше бороться с натом"

Сообщение от presstudio (ok) on 30-Июл-07, 07:13

Наковырял следующее
все пакеты кот. я пытался отправить на xx.yy.zz.200 уходили на этот интерфейс
interface FastEthernet0/0.10
encapsulation dot1Q 10
ip address xx.yy.zz.1 255.255.255.0
ip access-group eth in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
и соответственно при ip nat inside source static 10.10.1.45 xx.yy.zz.200 extendable
я ничего хорошего не получил
поставил
interface FastEthernet0/0.10
ip address xx.yy.zz.1 255.255.255.128
Теперь пинг до xx.yy.zz.200 идет как надо
Обмен пакетами с xx.yy.zz.200 по 32 байт:
Ответ от 10.10.1.45: число байт=32 время=47мс TTL=127
Ответ от 10.10.1.45: число байт=32 время=27мс TTL=127
Ответ от 10.10.1.45: число байт=32 время=26мс TTL=127
Ответ от 10.10.1.45: число байт=32 время=26мс TTL=127
Однако не пускает через порт 8080 и 23.
А на 10.10.1.45 пускает по всем портам.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "HELP!!! Не могу больше бороться с натом"
Сообщение от weris (??) on 26-Июл-07, 10:37
>ip nat inside source list 1 interface Serial0/0 overload >ip nat inside source static 10.10.1.45 xx.yy.125.200 extendable вот так попробуй ip nat pool test2 xx.yy.125.200 xx.yy.125.200 prefix-length 28 ip nat inside source list 3 pool test2 overload ip nat inside source static 10.10.1.45 xx.yy.125.200 extendable access-list 3 permit host 10.10.1.45
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "HELP!!! Не могу больше бороться с натом"
	Сообщение от presstudio (ok) on 27-Июл-07, 08:48
	>>ip nat inside source list 1 interface Serial0/0 overload >>ip nat inside source static 10.10.1.45 xx.yy.125.200 extendable > >вот так попробуй > >ip nat pool test2 xx.yy.125.200 xx.yy.125.200 prefix-length 28 >ip nat inside source list 3 pool test2 overload >ip nat inside source static 10.10.1.45 xx.yy.125.200 extendable > >access-list 3 permit host 10.10.1.45 Как и следовало ожидать: Тоже самое...... уже не знаю чего выдумать
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "HELP!!! Не могу больше бороться с натом"
Сообщение от Xela (ok) on 27-Июл-07, 10:33
> interface FastEthernet0/0.10 > encapsulation dot1Q 10 > ip address xx.xx.125.1 255.255.255.0 > ip access-group eth in > no ip redirects > no ip unreachables > no ip proxy-arp > ip nat inside Почему здесь inside ? Разве не outside должен быть на внешнем интерфейсе???
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "HELP!!! Не могу больше бороться с натом"
	Сообщение от presstudio (ok) on 27-Июл-07, 10:48
	>[оверквотинг удален] >> encapsulation dot1Q 10 >> ip address xx.xx.125.1 255.255.255.0 >> ip access-group eth in >> no ip redirects >> no ip unreachables >> no ip proxy-arp >> ip nat inside > >Почему здесь inside ? Разве не outside должен быть на внешнем интерфейсе??? > Ищем внешний...... находим: interface Serial0/0 bandwidth 2048 ip address xx.xx.zz.218 255.255.255.252 ip access-group in_block in ip access-group out_block out ip nat outside
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "HELP!!! Не могу больше бороться с натом"
	Сообщение от Xela (ok) on 27-Июл-07, 10:52
	>interface Serial0/0 > bandwidth 2048 > ip address xx.xx.zz.218 255.255.255.252 > ip access-group in_block in > ip access-group out_block out > ip nat outside О! Мильпардон. Не заметил.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

6. "HELP!!! Не могу больше бороться с натом"
Сообщение от presstudio (ok) on 27-Июл-07, 19:49
Тема становится все актуальнее с каждым часом
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "HELP!!! Не могу больше бороться с натом"
	Сообщение от Basil (??) on 29-Июл-07, 17:09
	>Тема становится все актуальнее с каждым часом Попробуйте debug ip nat и посмотреть, что происходит
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "HELP!!! Не могу больше бороться с натом"
	Сообщение от presstudio (ok) on 30-Июл-07, 03:59
	а происходит собственно.... Мне кажется все красиво.... Jul 30 08:40:44 main-gateway 136: .Jul 29 23:42:35.552: NAT: s=195.46.102.114, d=xx.zz.yy.200->10.10.1.45 [46847 Jul 30 08:40:44 main-gateway 137: .Jul 29 23:42:35.564: NAT: s=10.10.1.45->xx.zz.yy.200, d=195.46.102.114 [48294 d=xx.yy.zz.200->10.10.1.45 [47092 Jul 30 08:40:44 main-gateway 146: .Jul 29 23:42:35.709: NAT: s=195.46.102.114, d=xx.yy.zz.200->10.10.1.45 [47473 Jul 30 08:40:44 main-gateway 147: .Jul 29 23:42:35.733: NAT: s=10.10.1.45->xx.yy.zz.200, d=195.46.102.114 [48295 Jul 30 08:40:45 main-gateway 158: .Jul 29 23:42:35.801: NAT: s=195.46.102.114, d=xx.yy.zz.200->10.10.1.45 [48001 Jul 30 08:40:45 main-gateway 160: .Jul 29 23:42:35.886: NAT: s=195.46.102.114, d=xx.yy.zz.200->10.10.1.45 [48418 Jul 30 08:40:45 main-gateway 162: .Jul 29 23:42:35.910: NAT*: s=10.10.1.45->xx.yy.zz.200, d=195.46.102.114 [48296
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "HELP!!! Не могу больше бороться с натом"
	Сообщение от presstudio (ok) on 30-Июл-07, 04:46
	и еще: Схема выглядит так Пограничный маршрутизатор на котором прописываем ip nat inside Далее Catalysta, а от нее на Dslam. на каталисте пакеты ходят вот через этот vlan interface Vlan30 ip address 10.10.1.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp Может быть тут какая загвоздка. Потому как идет пинг xx.zz.yy.200, а чего пингуем не понятно.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

10. "HELP!!! Не могу больше бороться с натом"
Сообщение от presstudio (ok) on 30-Июл-07, 07:13
Наковырял следующее все пакеты кот. я пытался отправить на xx.yy.zz.200 уходили на этот интерфейс interface FastEthernet0/0.10 encapsulation dot1Q 10 ip address xx.yy.zz.1 255.255.255.0 ip access-group eth in no ip redirects no ip unreachables no ip proxy-arp ip nat inside и соответственно при ip nat inside source static 10.10.1.45 xx.yy.zz.200 extendable я ничего хорошего не получил поставил interface FastEthernet0/0.10 ip address xx.yy.zz.1 255.255.255.128 Теперь пинг до xx.yy.zz.200 идет как надо Обмен пакетами с xx.yy.zz.200 по 32 байт: Ответ от 10.10.1.45: число байт=32 время=47мс TTL=127 Ответ от 10.10.1.45: число байт=32 время=27мс TTL=127 Ответ от 10.10.1.45: число байт=32 время=26мс TTL=127 Ответ от 10.10.1.45: число байт=32 время=26мс TTL=127 Однако не пускает через порт 8080 и 23. А на 10.10.1.45 пускает по всем портам.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]