форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"В статическом нате проиходит публикация адреса на внешнем ин..."
Сообщение от sui245 (ok) on 16-Дек-05, 17:36  (MSK)
Уважаемые Господа Есть cisco2811 При вводе вот такой строки ip nat inside sourse static 10.0.0.201 172.14.244.4 Помимо того что происходит подмена адреса источника пакетов отправляемых из внетренней сети наружу так ещё и любой хост снаружи получает доступ к внутренней машине 10.0.0.201, как от этого избавиться, т.е. сохранить возможность натинга из внутренней сетки наружу, но убрать возможность соединения произвольной машины интернета с внутренней машиной. Что делать?????????????? З.Ы. Добавление ключа no-alias не спасает положения, простой правкой arp таблицы внешнего хоста это легко обходиться.
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "В статическом нате проиходит публикация адреса на внешнем ин..."
Сообщение от sh_ (??) on 16-Дек-05, 18:22  (MSK)
ip nat poo Fuck 172.14.244.4 172.14.244.4 pref 24 ip nat ins so li 1 poo Fuck over access-l 10 perm ho 10.0.0.201
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "В статическом нате проиходит публикация адреса на внешнем ин..."
	Сообщение от sui245 (ok) on 16-Дек-05, 19:09  (MSK)
	>ip nat poo Fuck 172.14.244.4 172.14.244.4 pref 24 >ip nat ins so li 1 poo Fuck over >access-l 10 perm ho 10.0.0.201 Увы но не помогло, если у машины 10.0.0.201 открыта сесия с любым хостом из внешней сети по любому протоколу то она становиться видна для всех внешних машин, а это не правильно по моему, единственный плюс это то что из таблицы натинга соответствие убивается почти сразу после завершения сеанса. На мой взгляд такая защита внутренних хостов от внешних атак нафиг не нужна, или я не прав.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "В статическом нате проиходит публикация адреса на внешнем ин..."
	Сообщение от sh_ (??) on 17-Дек-05, 09:55  (MSK)
	Ну поменяйте access-l 10 perm ho 10.0.0.201 на access-l 10 perm 10.0.0.200 0.0.0.252
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "В статическом нате проиходит публикация адреса на внешнем ин..."
	Сообщение от sui245 (??) on 19-Дек-05, 12:28  (MSK)
	>Ну поменяйте access-l 10 perm ho 10.0.0.201 на >access-l 10 perm 10.0.0.200 0.0.0.252 Ну поменяю, а что это даст, какая разница хосту разрешено или хостам, не всё ли равно? Проблему то всё равно не уберёт.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "В статическом нате проиходит публикация адреса на внешнем ин..."
	Сообщение от Изгой (??) on 19-Дек-05, 13:54  (MSK)
	>>Ну поменяйте access-l 10 perm ho 10.0.0.201 на >>access-l 10 perm 10.0.0.200 0.0.0.252 > >Ну поменяю, а что это даст, какая разница хосту разрешено или хостам, >не всё ли равно? Проблему то всё равно не уберёт. Ну пропишите на внешнем интерфейсе acl tcp  established  на этот адресс.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "В статическом нате проиходит публикация адреса на внешнем ин..."
	Сообщение от Изгой (??) on 19-Дек-05, 13:55  (MSK)
	>>>Ну поменяйте access-l 10 perm ho 10.0.0.201 на >>>access-l 10 perm 10.0.0.200 0.0.0.252 >> >>Ну поменяю, а что это даст, какая разница хосту разрешено или хостам, >>не всё ли равно? Проблему то всё равно не уберёт. > > >Ну пропишите на внешнем интерфейсе acl tcp  established  на этот >адресс. Или в конечном итоге просто правило кому можно обращаться на этот адрес из вне.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "В статическом нате проиходит публикация адреса на внешнем ин..."
	Сообщение от sui245 (ok) on 19-Дек-05, 17:01  (MSK)
	Большое спасибо Изгой, всё заработало, жаль только что established работает только с tcp сессиями, но всё равно большое спасибо. Лучше чем совсем ничего.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "В статическом нате проиходит публикация адреса на внешнем ин..."
	Сообщение от sui245 (ok) on 19-Дек-05, 14:30  (MSK)
	>>>Ну поменяйте access-l 10 perm ho 10.0.0.201 на >>>access-l 10 perm 10.0.0.200 0.0.0.252 >> >>Ну поменяю, а что это даст, какая разница хосту разрешено или хостам, >>не всё ли равно? Проблему то всё равно не уберёт. > > >Ну пропишите на внешнем интерфейсе acl tcp  established  на этот >адресс. А по подробнее о "Ну пропишите на внешнем интерфейсе acl tcp  established  на этот адресс." Так как заранее не известно с какими хостами захочет общаться внутрений хост ACL не подойдёт.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "В статическом нате проиходит публикация адреса на внешнем ин..."
	Сообщение от Изгой (??) on 20-Дек-05, 09:02  (MSK)
	>>>>Ну поменяйте access-l 10 perm ho 10.0.0.201 на >>>>access-l 10 perm 10.0.0.200 0.0.0.252 >>> >>>Ну поменяю, а что это даст, какая разница хосту разрешено или хостам, >>>не всё ли равно? Проблему то всё равно не уберёт. >> >> >>Ну пропишите на внешнем интерфейсе acl tcp  established  на этот >>адресс. > >А по подробнее о "Ну пропишите на внешнем интерфейсе acl tcp   >established  на этот >адресс." > > >Так как заранее не известно с какими хостами захочет общаться внутрений >хост ACL не подойдёт. Ну если неизвестно с кем он должен общаться , то что вы от этого компа хотите то? делайте аутентификацию, у вас компьютер , на порту весит сервис , а клиенты с динамическими адресами как я понял должны обращаться на этот порт , и только они , сделайте впн в конце концов если вас надо супер защиту , но как говориться если есть вход кому то из вне то почему никто не может этим воспользоваться ? Обижаете хакеров )
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "В статическом нате проиходит публикация адреса на внешнем ин..."
	Сообщение от Изгой (??) on 21-Дек-05, 09:31  (MSK)
	Если достаточно только TCP сесий подойдёт вот эта строка - Хост за натом инициатор связи естественно ipхост-ipnatoutsaidхост-любойкомп по TCP acl 101 permit Tcp any host ipnatoutsaidхост established вроде не напутал ничего ,UDP убить , если нельзя убить то это уже надо ещё думать.Может динамический акл вешать , но тут надо почитать про ньюансы.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]