форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Cisco маршрутизаторы)
Изначальное сообщение		[ Отслеживать ]

"Проброс порта"	+/–
Сообщение от spakledge (ok) on 04-Апр-11, 09:52
Здравствуйте товарищи.Помогите пожалуйста советом Есть один белый IP(смотрит в интернет) назовем его WAN Суть проблемы в том что есть два терминальных сервера внутри локальной сети. Первый имеет внутренний IP адрес 10.0.0.x назовем ее Терм1 Второй имеет внутренний IP адрес 10.0.0.x+1 назовем ее Терм2 Есть два удаленных офиса Первый имеет белый IP 79.122.133.x назовем ее Удал1 Второй имеет белый IP 79.122.133.x+1 назовем ее Удал2 Я хотел организвать подключение по следующей схеме: Пользователи подключающиеся с Удал1 по порты источника 3389 должны попадать на Терм1 через WAN Пользователи подключающиеся с Удал2 по порты источника 3389 должны попадать на Терм2 через WAN Подключение с иных удаленных белых должно отсеиваться. То есть,нужен аналог, как это сделано в: iptables -t nat -A PREROUTING -p tcp -s 79.122.133.x -d $WAN --dport 3389 -j DNAT --to-destination 10.0.0.x:3389) в iptables или в pf rdr on $ext_if proto udp from 79.122.133.x to $ext_if port 3389 -> 10.0.0.x port 3389 PS:Буду очень благодарен за совет.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Проброс порта"	+/–
Сообщение от crash (ok) on 05-Апр-11, 05:54
а раздел Cisco при чем тут?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Проброс порта"	+/–
	Сообщение от spakledge (ok) on 05-Апр-11, 06:07
	> а раздел Cisco при чем тут? Это я хотел провести парралель.Как это можно релиазовать, на Unix.Думая,что так будет понятнее формулировка вопроса
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Проброс порта"	+/–
	Сообщение от iRoot on 05-Апр-11, 10:01
	>> а раздел Cisco при чем тут? > Это я хотел провести парралель.Как это можно релиазовать, на Unix.Думая,что так будет > понятнее формулировка вопроса так и не понял, на чем нужно сделать проброс портов? какое оборудование?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Проброс порта"	+/–
	Сообщение от spakledge (ok) on 05-Апр-11, 11:14
	>>> а раздел Cisco при чем тут? >> Это я хотел провести парралель.Как это можно релиазовать, на Unix.Думая,что так будет >> понятнее формулировка вопроса > так и не понял, на чем нужно сделать проброс портов? > какое оборудование? Cisco 2811.Проброс порта с указанием адреса источника. Например если подключиться с адреса 79.122.133.194 с порта 3389 попасть на внутренний адрес локальной сети 10.0.0.1 Также клиенты подключающиеся с адреса 79.122.133.210 с порта 3389 должны попадать на 10.0.0.2. то есть в команде ip nat inside source static tcp 10.0.0.1 3389 $external_address 3389 extendable нет указания адреса источника, в данном случае 79.122.133.194 и 79.122.133.210 79.122.133.194 и 79.122.133.210 это не внутренние адреса на циске, а удаленные адреса филиалов с которых будет инициировано соединение.В Unix это делается одной строчкой.А в циско уже бьюсь вторую неделю, в документации не нашел никаких упоминаний об этом. Для наглядности на циске один провайдер-один внешний айпи адрес 217.117.182.226
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Проброс порта"	+/–
	Сообщение от VolanD (ok) on 05-Апр-11, 17:49
	>[оверквотинг удален] > Также клиенты подключающиеся с адреса 79.122.133.210 с порта 3389 должны попадать на > 10.0.0.2. > то есть в команде ip nat inside source static tcp 10.0.0.1 3389 > $external_address 3389 extendable нет указания адреса источника, в данном случае 79.122.133.194 > и 79.122.133.210 > 79.122.133.194 и 79.122.133.210 это не внутренние адреса на циске, а удаленные адреса > филиалов с которых будет инициировано соединение.В Unix это делается одной строчкой.А > в циско уже бьюсь вторую неделю, в документации не нашел никаких > упоминаний об этом. Для наглядности на циске один провайдер-один внешний айпи > адрес 217.117.182.226 Т.е. если мы Вас правильно поняли, Вам нужно пробрасывать трафик в зависимости от source address.Если так, то ИМХО одной командой это сделать нельзя. Можно попробовать сделать так: 1) Создать lo интерфейс 2) Пробрасывать весь трафик (который приходит на нужный порт) на этот локальный интерфейс. 3) Потом на lo вешаем route-map и уже в нем смотрим на source address и отравляем на нужный хост. Сразу говорю, так никогда не делал и не уверен, получится или нет. Но я бы попробовал.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Проброс порта"	+/–
	Сообщение от Merridius (ok) on 05-Апр-11, 17:56
	>[оверквотинг удален] > Также клиенты подключающиеся с адреса 79.122.133.210 с порта 3389 должны попадать на > 10.0.0.2. > то есть в команде ip nat inside source static tcp 10.0.0.1 3389 > $external_address 3389 extendable нет указания адреса источника, в данном случае 79.122.133.194 > и 79.122.133.210 > 79.122.133.194 и 79.122.133.210 это не внутренние адреса на циске, а удаленные адреса > филиалов с которых будет инициировано соединение.В Unix это делается одной строчкой.А > в циско уже бьюсь вторую неделю, в документации не нашел никаких > упоминаний об этом. Для наглядности на циске один провайдер-один внешний айпи > адрес 217.117.182.226 Не проще ли туннель с GRE и ipsec натроить?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема