The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]



"Cisco 1921 + ehwic-4esg организация dmz"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]
Курсы Сisco по безопасности (CCNA и CCNP Security, Сisco ISE 2.1, ASA, IronPort)
"Cisco 1921 + ehwic-4esg организация dmz"  +/
Сообщение от techalex (ok) on 11-Фев-18, 15:51 
Всем добрый день.
Необходимо выделить сервер в отдельную подсеть и пробросить к нему порты.
Сейчас конфигурация такая:

Сервер имеет ip 10.13.16.5, на рутере поднят dhcp раздающий 192.168.1.х для компов подключенных через два AP которые в свою очередь воткнуты в ehwic.

interface GigabitEthernet0/0
description WAN
ip address 213.х.х.х 255.255.255.0
ip nat outside

interface GigabitEthernet0/1
description DMZ
ip address 10.13.16.1 255.255.255.0

interface GigabitEthernet0/0/0
no ip address
!
interface GigabitEthernet0/0/1
no ip address
!
interface GigabitEthernet0/0/2
no ip address
!
interface GigabitEthernet0/0/3
no ip address
!
interface Vlan1
description LAN
ip address 192.168.1.1 255.255.255.0
ip nat inside

ip nat inside source list NAT interface GigabitEthernet0/0 overload

NAT работает, инет у сотрудников есть.
Подскажите пожалуйста как пробросить порты 21, 22 и 80 на сервер который в DMZ.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco 1921 + ehwic-4esg организация dmz"  +/
Сообщение от elk_killa (ok) on 11-Фев-18, 17:17 
> NAT работает, инет у сотрудников есть.
> Подскажите пожалуйста как пробросить порты 21, 22 и 80 на сервер который
> в DMZ.

interface GigabitEthernet0/1
ip nat inside

далее все как всегда

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco 1921 + ehwic-4esg организация dmz"  +/
Сообщение от techalex (ok) on 11-Фев-18, 17:28 
>> NAT работает, инет у сотрудников есть.
>> Подскажите пожалуйста как пробросить порты 21, 22 и 80 на сервер который
>> в DMZ.
> interface GigabitEthernet0/1
> ip nat inside
> далее все как всегда

типа
ip nat inside source static tcp 10.13.16.5 80 interface GigabitEthernet0/0 80
ip nat inside source static tcp 10.13.16.5 21 interface GigabitEthernet0/0 21

да, так работает, но тогда пользователи из подсети 192.168.1.0 не могут зайти на этот сервер по внешнему ip. А мне это нужно, как быть? Что гуглить? Слышал про подмену dns прямо на циске но не понял как сделать.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Cisco 1921 + ehwic-4esg организация dmz"  +/
Сообщение от Serb on 12-Фев-18, 06:43 
>[оверквотинг удален]
>> interface GigabitEthernet0/1
>> ip nat inside
>> далее все как всегда
> типа
> ip nat inside source static tcp 10.13.16.5 80 interface GigabitEthernet0/0 80
> ip nat inside source static tcp 10.13.16.5 21 interface GigabitEthernet0/0 21
> да, так работает, но тогда пользователи из подсети 192.168.1.0 не могут зайти
> на этот сервер по внешнему ip. А мне это нужно, как
> быть? Что гуглить? Слышал про подмену dns прямо на циске но
> не понял как сделать.

NAT NVI

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Cisco 1921 + ehwic-4esg организация dmz"  +/
Сообщение от elk_killa (ok) on 12-Фев-18, 12:25 
> да, так работает, но тогда пользователи из подсети 192.168.1.0 не могут зайти

это уже обсуждалось на всех форумах не по одному разу

> на этот сервер по внешнему ip. А мне это нужно, как
> быть? Что гуглить? Слышал про подмену dns прямо на циске но
> не понял как сделать.

возьмите у провайдера блок белых адресов /29 или сколько нужно, назначьте в DMZ себе и ходите без ната снаружи и изнутри

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Cisco 1921 + ehwic-4esg организация dmz"  +/
Сообщение от techalex (ok) on 15-Фев-18, 19:00 
>> да, так работает, но тогда пользователи из подсети 192.168.1.0 не могут зайти
> это уже обсуждалось на всех форумах не по одному разу
>> на этот сервер по внешнему ip. А мне это нужно, как
>> быть? Что гуглить? Слышал про подмену dns прямо на циске но
>> не понял как сделать.
> возьмите у провайдера блок белых адресов /29 или сколько нужно, назначьте в
> DMZ себе и ходите без ната снаружи и изнутри

Собственно все решилось с помощью ip host myhost.ru 10.13.16.5
Всем спасибо )

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor