forum.opennet.ru - "Броброс портов в NAT" (12)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Броброс портов в NAT"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Броброс портов в NAT"	–1 +/–
Сообщение от RodjerVilko (ok) on 29-Апр-11, 14:12
Броброс портов в NAT. Приветсвую всех! прошу помочь с настройкой CISCO 2600. Имеем Внешний порт interface FastEthernet0/0 description Provider ip address 212.12.240.240 255.255.255.0 ip nat outside no ip mroute-cache duplex auto speed auto Внутренний interface FastEthernet0/1 description LAN ip address 192.168.50.1 255.255.255.0 ip nat inside no ip mroute-cache duplex auto speed auto ip nat inside source static 192.168.50.12 212.12.240.240 extendable разрешил все, хотя нужен будет тока 3389 ip nat inside source list rdp1 interface FastEthernet0/0 overload ip access-list extended rdp1 permit tcp any any permit udp any any тоже разрешил все для проверки. соединения через внешний порт с 212.12.240.16 на 212.12.240.240 по rdp ничего не дают debug ip nat выдает 00:42:58: NAT: s=212.12.240.16, d=212.12.240.240->192.168.50.12 [524] 00:43:01: NAT: s=212.12.240.16, d=212.12.240.240->192.168.50.12 [525] 00:43:07: NAT: s=212.12.240.16, d=212.12.240.240->192.168.50.12 [526] 00:44:07: NAT: expiring 212.12.240.240 (192.168.5.12) tcp 3389 (3389) Я с цисками только неделю знаком, так что не пинайте сильно. возможно надо еще какой-то acces list добавит надо. может inside и outside напутал в пробросе.
Ответить \| Правка \| Cообщить модератору

Оглавление

Броброс портов в NAT, shadow_alone, 10:21 , 30-Апр-11, (1)
Броброс портов в NAT, Merridius, 23:40 , 30-Апр-11, (2)
Броброс портов в NAT, RodjerVilko, 10:13 , 04-Май-11, (3)

Броброс портов в NAT, crash, 10:26 , 04-Май-11, (4)

Броброс портов в NAT, RodjerVilko, 10:57 , 04-Май-11, (5)

Броброс портов в NAT, crash, 12:05 , 04-Май-11, (6)

Броброс портов в NAT, RodjerVilko, 13:11 , 04-Май-11, (7)

Броброс портов в NAT, crash, 14:02 , 04-Май-11, (8)

Броброс портов в NAT, RodjerVilko, 15:00 , 04-Май-11, (9)

Броброс портов в NAT, RodjerVilko, 15:20 , 11-Май-11, (10)

Броброс портов в NAT, crash, 14:02 , 12-Май-11, (11)

Броброс портов в NAT, RodjerVilko, 15:15 , 12-Май-11, (12)

Сообщения по теме [Сортировка по времени | RSS]

1. "Броброс портов в NAT" +/–

Сообщение от shadow_alone (ok) on 30-Апр-11, 10:21

на машине 192.168.50.12, шлюзом указать 192.168.50.1

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Броброс портов в NAT" +/–

Сообщение от Merridius (ok) on 30-Апр-11, 23:40

> ip nat inside source static 192.168.50.12 212.12.240.240 extendable
> разрешил все, хотя нужен будет тока 3389
ip nat inside source static tcp 192.168.50.12 3389 212.12.240.240 3389
таким образом вы пробросите порт tcp 3389 с хоста 192.168.50.12 на порт 3389 на вашем внешнем адресе.

> ip nat inside source list rdp1 interface FastEthernet0/0 overload
> ip access-list extended rdp1
>  permit tcp any any
>  permit udp any any
с таким листом у вас не будет работать ничего, кроме tcp и udp трафика.
permit ip 192.168.50.0 0.0.0.255 any
сделайте такой АКЛ, чтобы разрешить натить любой ip трафик из сети 192.168.50.0/24

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Броброс портов в NAT" +/–

Сообщение от RodjerVilko (ok) on 04-Май-11, 10:13

спасибо большое всем.
еще не подскажите как разрешить доступ к внешнему ипу
(interface FastEthernet0/0 ip address 212.12.240.240)
только например 212.12.240.30
ip nat outside source list NET interface FastEthernet0/0

ip access-list extended NET
permit ip host 212.12.240.30 host 212.12.240.240
deny   ip any any

не работает, да и просто deny ip any any не запрещает ничего

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Броброс портов в NAT" +/–

Сообщение от crash (ok) on 04-Май-11, 10:26

> спасибо большое всем.
> еще не подскажите как разрешить доступ к внешнему ипу
> (interface FastEthernet0/0 ip address 212.12.240.240)
> только например 212.12.240.30
> ip nat outside source list NET interface FastEthernet0/0
> ip access-list extended NET
>  permit ip host 212.12.240.30 host 212.12.240.240
>  deny   ip any any
> не работает, да и просто deny ip any any не запрещает ничего
Не понятно чего вы хотите, да  и не понятно для чего вы натите внешние айпишники

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Броброс портов в NAT" +/–

Сообщение от RodjerVilko (ok) on 04-Май-11, 10:57

>[оверквотинг удален]
>> еще не подскажите как разрешить доступ к внешнему ипу
>> (interface FastEthernet0/0 ip address 212.12.240.240)
>> только например 212.12.240.30
>> ip nat outside source list NET interface FastEthernet0/0
>> ip access-list extended NET
>>  permit ip host 212.12.240.30 host 212.12.240.240
>>  deny   ip any any
>> не работает, да и просто deny ip any any не запрещает ничего
> Не понятно чего вы хотите, да  и не понятно для чего
> вы натите внешние айпишники
я хочу ограничить доступ к внешнему порту (interface FastEthernet0/0)
определенным диапазоном ip. (написал для примера разрешить только 212.12.240.30)
ip nat INSIDE source list должен быть?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Броброс портов в NAT" +/–

Сообщение от crash (ok) on 04-Май-11, 12:05

>[оверквотинг удален]
>>> ip nat outside source list NET interface FastEthernet0/0
>>> ip access-list extended NET
>>>  permit ip host 212.12.240.30 host 212.12.240.240
>>>  deny   ip any any
>>> не работает, да и просто deny ip any any не запрещает ничего
>> Не понятно чего вы хотите, да  и не понятно для чего
>> вы натите внешние айпишники
> я хочу ограничить доступ к внешнему порту (interface FastEthernet0/0)
> определенным диапазоном ip. (написал для примера разрешить только 212.12.240.30)
> ip nat INSIDE source list должен быть?
так вам надо не натить, а вешать access-list на входящий интерфейс, где вы разрешаете и что.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Броброс портов в NAT" +/–

Сообщение от RodjerVilko (ok) on 04-Май-11, 13:11

>[оверквотинг удален]
>>>>  permit ip host 212.12.240.30 host 212.12.240.240
>>>>  deny   ip any any
>>>> не работает, да и просто deny ip any any не запрещает ничего
>>> Не понятно чего вы хотите, да  и не понятно для чего
>>> вы натите внешние айпишники
>> я хочу ограничить доступ к внешнему порту (interface FastEthernet0/0)
>> определенным диапазоном ip. (написал для примера разрешить только 212.12.240.30)
>> ip nat INSIDE source list должен быть?
> так вам надо не натить, а вешать access-list на входящий интерфейс, где
> вы разрешаете и что.
т.е. вот так только?
interface FastEthernet0/0
    ip access-group 100 in
access-list 100 permit tcp host 212.12.240.30 host 212.12.240.240 eq 3389

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Броброс портов в NAT" +/–

Сообщение от crash (ok) on 04-Май-11, 14:02

> т.е. вот так только?
> interface FastEthernet0/0
>     ip access-group 100 in
> access-list 100 permit tcp host 212.12.240.30 host 212.12.240.240 eq 3389
да, но надо понимать что вы закрываете все остальное. Поэтому вам надо например потом сделать
access-list 100 deny tcp any host 212.12.240.240 eq 3389
access-list 100 permit ip any host 212.12.240.240
или как вариант настрить на cisco cbaq, тогда на интеерфейсе надо будет настраивать в access-list'е только то кому разрешаете доступ из вне.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Броброс портов в NAT" +/–

Сообщение от RodjerVilko (ok) on 04-Май-11, 15:00

>> т.е. вот так только?
>> interface FastEthernet0/0
>>     ip access-group 100 in
>> access-list 100 permit tcp host 212.12.240.30 host 212.12.240.240 eq 3389
> да, но надо понимать что вы закрываете все остальное. Поэтому вам надо
> например потом сделать
> access-list 100 deny tcp any host 212.12.240.240 eq 3389
> access-list 100 permit ip any host 212.12.240.240
> или как вариант настрить на cisco cbaq, тогда на интеерфейсе надо будет
> настраивать в access-list'е только то кому разрешаете доступ из вне.
да, я понимаю, мне и нужно разрешить доступ только из одной подсети 212.12.240.0 255.255.255.0
access-list 100 permit tcp 212.12.240.0 0.255.255.255 any eq 3389

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Броброс портов в NAT" +/–

Сообщение от RodjerVilko (ok) on 11-Май-11, 15:20

Допишу сюда.
не могу разобраться с acces-list
внешнйи интерфейс
Interface FastEthernet 0/1
ip addres 212.12.240.240
ip nat outside
ip access-group NET in
внутренний
Interface FastEthernet 0/0
ip addres 192.168.50.5
ip nat inside
ip nat inside source list LOC interface FastEthernet 0/1 overload
ip access-list extended LOC
permit ip 192.168.50.0 0.255.255.255 any
хочу разрешить проброс и доступ только к 21 порту (192.168.5.21)
ip nat inside source static tcp 192.168.50.21 21 212.12.240.240 21 extendable
ip nat inside source static tcp 192.168.50.21 20 212.12.240.240 20 extendable
ip access-list extended NET
попробовал так
permit tcp 212.12.0.0 0.0.255.255 eq ftp host 192.168.50.21 eq ftp
не вышло, в show ip nat translations увидел, что ломятся с совсем других портов (ЭТО как??)
сделал так
permit tcp 212.12.0.0 0.0.255.255 host 192.168.50.21 eq ftp
не получилось и добавил
permit tcp 212.12.0.0 0.0.255.255 host 212.12.240.240 eq ftp
пропускает, но в пассивном режиме.
более-менее работает при
permit tcp 212.12.0.0 0.0.255.255 any
но тормозит и низкая скорость.

что не так делаю?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

11. "Броброс портов в NAT" +/–

Сообщение от crash (ok) on 12-Май-11, 14:02

> ip nat inside source static tcp 192.168.50.21 21 212.12.240.240 21 extendable
> ip nat inside source static tcp 192.168.50.21 20 212.12.240.240 20 extendable
> ip access-list extended NET
> попробовал так
> permit tcp 212.12.0.0 0.0.255.255 eq ftp host 192.168.50.21 eq ftp
> не вышло, в show ip nat translations увидел, что ломятся с совсем
> других портов (ЭТО как??)
Кто вам сказал что клиент должен ломиться с 20 или с 21 порта? клиент будет ломиться с 1024 например.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Броброс портов в NAT" +/–

Сообщение от RodjerVilko (ok) on 12-Май-11, 15:15

>> ip nat inside source static tcp 192.168.50.21 21 212.12.240.240 21 extendable
>> ip nat inside source static tcp 192.168.50.21 20 212.12.240.240 20 extendable
>> ip access-list extended NET
>> попробовал так
>> permit tcp 212.12.0.0 0.0.255.255 eq ftp host 192.168.50.21 eq ftp
>> не вышло, в show ip nat translations увидел, что ломятся с совсем
>> других портов (ЭТО как??)
> Кто вам сказал что клиент должен ломиться с 20 или с 21
> порта? клиент будет ломиться с 1024 например.
да, уже ошибку понял. Спасибо большое

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Броброс портов в NAT"	+/–
Сообщение от shadow_alone (ok) on 30-Апр-11, 10:21
на машине 192.168.50.12, шлюзом указать 192.168.50.1
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "Броброс портов в NAT"	+/–
Сообщение от Merridius (ok) on 30-Апр-11, 23:40
> ip nat inside source static 192.168.50.12 212.12.240.240 extendable > разрешил все, хотя нужен будет тока 3389 ip nat inside source static tcp 192.168.50.12 3389 212.12.240.240 3389 таким образом вы пробросите порт tcp 3389 с хоста 192.168.50.12 на порт 3389 на вашем внешнем адресе. > ip nat inside source list rdp1 interface FastEthernet0/0 overload > ip access-list extended rdp1 > permit tcp any any > permit udp any any с таким листом у вас не будет работать ничего, кроме tcp и udp трафика. permit ip 192.168.50.0 0.0.0.255 any сделайте такой АКЛ, чтобы разрешить натить любой ip трафик из сети 192.168.50.0/24
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

3. "Броброс портов в NAT"	+/–
Сообщение от RodjerVilko (ok) on 04-Май-11, 10:13
спасибо большое всем. еще не подскажите как разрешить доступ к внешнему ипу (interface FastEthernet0/0 ip address 212.12.240.240) только например 212.12.240.30 ip nat outside source list NET interface FastEthernet0/0 ip access-list extended NET permit ip host 212.12.240.30 host 212.12.240.240 deny ip any any не работает, да и просто deny ip any any не запрещает ничего
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "Броброс портов в NAT"	+/–
	Сообщение от crash (ok) on 04-Май-11, 10:26
	> спасибо большое всем. > еще не подскажите как разрешить доступ к внешнему ипу > (interface FastEthernet0/0 ip address 212.12.240.240) > только например 212.12.240.30 > ip nat outside source list NET interface FastEthernet0/0 > ip access-list extended NET > permit ip host 212.12.240.30 host 212.12.240.240 > deny ip any any > не работает, да и просто deny ip any any не запрещает ничего Не понятно чего вы хотите, да и не понятно для чего вы натите внешние айпишники
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Броброс портов в NAT"	+/–
	Сообщение от RodjerVilko (ok) on 04-Май-11, 10:57
	>[оверквотинг удален] >> еще не подскажите как разрешить доступ к внешнему ипу >> (interface FastEthernet0/0 ip address 212.12.240.240) >> только например 212.12.240.30 >> ip nat outside source list NET interface FastEthernet0/0 >> ip access-list extended NET >> permit ip host 212.12.240.30 host 212.12.240.240 >> deny ip any any >> не работает, да и просто deny ip any any не запрещает ничего > Не понятно чего вы хотите, да и не понятно для чего > вы натите внешние айпишники я хочу ограничить доступ к внешнему порту (interface FastEthernet0/0) определенным диапазоном ip. (написал для примера разрешить только 212.12.240.30) ip nat INSIDE source list должен быть?
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Броброс портов в NAT"	+/–
	Сообщение от crash (ok) on 04-Май-11, 12:05
	>[оверквотинг удален] >>> ip nat outside source list NET interface FastEthernet0/0 >>> ip access-list extended NET >>> permit ip host 212.12.240.30 host 212.12.240.240 >>> deny ip any any >>> не работает, да и просто deny ip any any не запрещает ничего >> Не понятно чего вы хотите, да и не понятно для чего >> вы натите внешние айпишники > я хочу ограничить доступ к внешнему порту (interface FastEthernet0/0) > определенным диапазоном ip. (написал для примера разрешить только 212.12.240.30) > ip nat INSIDE source list должен быть? так вам надо не натить, а вешать access-list на входящий интерфейс, где вы разрешаете и что.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Броброс портов в NAT"	+/–
	Сообщение от RodjerVilko (ok) on 04-Май-11, 13:11
	>[оверквотинг удален] >>>> permit ip host 212.12.240.30 host 212.12.240.240 >>>> deny ip any any >>>> не работает, да и просто deny ip any any не запрещает ничего >>> Не понятно чего вы хотите, да и не понятно для чего >>> вы натите внешние айпишники >> я хочу ограничить доступ к внешнему порту (interface FastEthernet0/0) >> определенным диапазоном ip. (написал для примера разрешить только 212.12.240.30) >> ip nat INSIDE source list должен быть? > так вам надо не натить, а вешать access-list на входящий интерфейс, где > вы разрешаете и что. т.е. вот так только? interface FastEthernet0/0 ip access-group 100 in access-list 100 permit tcp host 212.12.240.30 host 212.12.240.240 eq 3389
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Броброс портов в NAT"	+/–
	Сообщение от crash (ok) on 04-Май-11, 14:02
	> т.е. вот так только? > interface FastEthernet0/0 > ip access-group 100 in > access-list 100 permit tcp host 212.12.240.30 host 212.12.240.240 eq 3389 да, но надо понимать что вы закрываете все остальное. Поэтому вам надо например потом сделать access-list 100 deny tcp any host 212.12.240.240 eq 3389 access-list 100 permit ip any host 212.12.240.240 или как вариант настрить на cisco cbaq, тогда на интеерфейсе надо будет настраивать в access-list'е только то кому разрешаете доступ из вне.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Броброс портов в NAT"	+/–
	Сообщение от RodjerVilko (ok) on 04-Май-11, 15:00
	>> т.е. вот так только? >> interface FastEthernet0/0 >> ip access-group 100 in >> access-list 100 permit tcp host 212.12.240.30 host 212.12.240.240 eq 3389 > да, но надо понимать что вы закрываете все остальное. Поэтому вам надо > например потом сделать > access-list 100 deny tcp any host 212.12.240.240 eq 3389 > access-list 100 permit ip any host 212.12.240.240 > или как вариант настрить на cisco cbaq, тогда на интеерфейсе надо будет > настраивать в access-list'е только то кому разрешаете доступ из вне. да, я понимаю, мне и нужно разрешить доступ только из одной подсети 212.12.240.0 255.255.255.0 access-list 100 permit tcp 212.12.240.0 0.255.255.255 any eq 3389
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "Броброс портов в NAT"	+/–
	Сообщение от RodjerVilko (ok) on 11-Май-11, 15:20
	Допишу сюда. не могу разобраться с acces-list внешнйи интерфейс Interface FastEthernet 0/1 ip addres 212.12.240.240 ip nat outside ip access-group NET in внутренний Interface FastEthernet 0/0 ip addres 192.168.50.5 ip nat inside ip nat inside source list LOC interface FastEthernet 0/1 overload ip access-list extended LOC permit ip 192.168.50.0 0.255.255.255 any хочу разрешить проброс и доступ только к 21 порту (192.168.5.21) ip nat inside source static tcp 192.168.50.21 21 212.12.240.240 21 extendable ip nat inside source static tcp 192.168.50.21 20 212.12.240.240 20 extendable ip access-list extended NET попробовал так permit tcp 212.12.0.0 0.0.255.255 eq ftp host 192.168.50.21 eq ftp не вышло, в show ip nat translations увидел, что ломятся с совсем других портов (ЭТО как??) сделал так permit tcp 212.12.0.0 0.0.255.255 host 192.168.50.21 eq ftp не получилось и добавил permit tcp 212.12.0.0 0.0.255.255 host 212.12.240.240 eq ftp пропускает, но в пассивном режиме. более-менее работает при permit tcp 212.12.0.0 0.0.255.255 any но тормозит и низкая скорость. что не так делаю?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	11. "Броброс портов в NAT"	+/–
	Сообщение от crash (ok) on 12-Май-11, 14:02
	> ip nat inside source static tcp 192.168.50.21 21 212.12.240.240 21 extendable > ip nat inside source static tcp 192.168.50.21 20 212.12.240.240 20 extendable > ip access-list extended NET > попробовал так > permit tcp 212.12.0.0 0.0.255.255 eq ftp host 192.168.50.21 eq ftp > не вышло, в show ip nat translations увидел, что ломятся с совсем > других портов (ЭТО как??) Кто вам сказал что клиент должен ломиться с 20 или с 21 порта? клиент будет ломиться с 1024 например.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "Броброс портов в NAT"	+/–
	Сообщение от RodjerVilko (ok) on 12-Май-11, 15:15
	>> ip nat inside source static tcp 192.168.50.21 21 212.12.240.240 21 extendable >> ip nat inside source static tcp 192.168.50.21 20 212.12.240.240 20 extendable >> ip access-list extended NET >> попробовал так >> permit tcp 212.12.0.0 0.0.255.255 eq ftp host 192.168.50.21 eq ftp >> не вышло, в show ip nat translations увидел, что ломятся с совсем >> других портов (ЭТО как??) > Кто вам сказал что клиент должен ломиться с 20 или с 21 > порта? клиент будет ломиться с 1024 например. да, уже ошибку понял. Спасибо большое
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору