https://slinkov.ru/openforum/vsluhforumID6/16233.html Всем доброго времени суток! Хотелось бы разобраться в одном вопросе.<br>Топология сети:<br>Локальная сеть: 172.16.16.0/24 <br>В локальной сети существует некий сервер с адресом: 172.16.16.2<br>Есть cisco рутер: e0/0: 172.16.16.2, e0/1:85.21.122.3,85.21.122.4 secondary<br><br>1)Вся локальная сеть динамически натится на 85.21.122.3.<br>2)На 85.21.122.4 должен натится только 172.16.16.2. <br><br>С первым пунктом все ясно, второй пункт я решил таким образом:<br>ip nat inside source static 172.16.16.2 85.21.122.4 <br>Но у меня возникла заминка, я с удаленного компьютера легко зашел по RDP на этот сервер, по 85.21.122.4:3389 чему был удивлен. <br>До этого момента я думал что inside это когда я разрешаю транслировать внутренний ip во внешний, и никак ни с внешнего ip на внутренний. Я нихочу опубликовывать порты внутреннего сервера внаружу. Поясните пожалуйста как это можно сделать, почему получилась такая ситуация и чем же отличается тогда inside от outside.<br><br> <br> https://slinkov.ru/openforum/vsluhforumID6/16233.html#10 Tue, 13 May 2008 05:29:39 GMT &gt;[оверквотинг удален]<br>&gt;&gt;...Заранее спасибо !!! <br>&gt;<br>&gt;Если это трансляция static, то да -- строки эквивалентны <br>&gt;<br>&gt;Важный момент при задании правил NAT -- порядок выполнения маршрутизации и трансляции: <br>&gt;<br>&gt; -- Когда пакет передается из inside на outside, сначала проверяется таблица <br>&gt;маршрутизации (смотрим destination адрес), а потом выполняется трансляция. <br>&gt; -- Когда пакет передается с inside на outside, сначала выполняется трансляция, <br>&gt;а потом проверяется таблица маршрутизации <br><br>всем спасибо за участие!<br><br> https://slinkov.ru/openforum/vsluhforumID6/16233.html#9 Mon, 12 May 2008 09:39:13 GMT &gt;&gt;Guest, а если не сложно можно пример, когда необходимо применить ip nat <br>&gt;&gt;outside..<br><br>ip nat outside source list может использоваться в ситуациях, когда у вас есть две внутренние сети с одинаковым диапазоном адресов (например, разных компаний), которые Вам надо соединить между собой.<br><br>&gt; Правильно ли я понял, что эти строчки эквивалентны:<br>&gt;<br>&gt;ip nat inside source 172.16.16.2 85.21.122.3 <br>&gt;ip nat outside source 85.21.122.3 172.16.16.2 <br>&gt;...Заранее спасибо !!! <br><br>Если это трансляция static, то да -- строки эквивалентны<br><br>Важный момент при задании правил NAT -- порядок выполнения маршрутизации и трансляции:<br> -- Когда пакет передается из inside на outside, сначала проверяется таблица маршрутизации (смотрим destination адрес), а потом выполняется трансляция.<br> -- Когда пакет передается с inside на outside, сначала выполняется трансляция, а потом проверяется таблица маршрутизации<br> https://slinkov.ru/openforum/vsluhforumID6/16233.html#8 Sun, 11 May 2008 18:50:35 GMT &gt;[оверквотинг удален]<br>&gt;&gt;транслироваться source адрес. <br>&gt;&gt;Вы когда настраиваете NAT, то еще указываете, что один интерфейс -- inside, <br>&gt;&gt; а другой -- outside. <br>&gt;&gt;Правило ip nat inside source говорит, что у трафика приходящего на inside <br>&gt;&gt;интерфейс надо транслировать source адрес. <br>&gt;&gt;Правило ip nat outside source говорит, что у трафика приходящего на outside <br>&gt;&gt;интерфейс надо транслировать source адрес. <br>&gt;<br>&gt;Guest, а если не сложно можно пример, когда необходимо применить ip nat <br>&gt;outside..Правильно ли я понял, что эти строчки эквивалентны:<br><br>ip nat inside source 172.16.16.2 85.21.122.3<br>ip nat outside source 85.21.122.3 172.16.16.2 <br>...Заранее спасибо !!!<br><br> https://slinkov.ru/openforum/vsluhforumID6/16233.html#7 Sun, 11 May 2008 18:43:07 GMT &gt;[оверквотинг удален]<br>&gt;&gt;во втором destination адреса IP пакета <br>&gt;<br>&gt;inside и outside нужны для того, чтобы указать с какого интерфейса будет <br>&gt;транслироваться source адрес. <br>&gt;Вы когда настраиваете NAT, то еще указываете, что один интерфейс -- inside, <br>&gt; а другой -- outside. <br>&gt;Правило ip nat inside source говорит, что у трафика приходящего на inside <br>&gt;интерфейс надо транслировать source адрес. <br>&gt;Правило ip nat outside source говорит, что у трафика приходящего на outside <br>&gt;интерфейс надо транслировать source адрес. <br><br>Guest, а если не сложно можно пример, когда необходимо применить ip nat outside..зарнее спасибо!<br> https://slinkov.ru/openforum/vsluhforumID6/16233.html#6 Sun, 11 May 2008 06:26:16 GMT &gt;<br>&gt;inside отличается от outside тем ЧТО транслировать. В первом случае транслируются source, <br>&gt;во втором destination адреса IP пакета <br><br>inside и outside нужны для того, чтобы указать с какого интерфейса будет транслироваться source адрес. <br>Вы когда настраиваете NAT, то еще указываете, что один интерфейс -- inside, а другой -- outside.<br>Правило ip nat inside source говорит, что у трафика приходящего на inside интерфейс надо транслировать source адрес.<br>Правило ip nat outside source говорит, что у трафика приходящего на outside интерфейс надо транслировать source адрес.<br> https://slinkov.ru/openforum/vsluhforumID6/16233.html#5 Sun, 11 May 2008 06:07:55 GMT &gt;&gt;это можно сделать, почему получилась такая ситуация и чем же отличается <br>&gt;&gt;тогда inside от outside. <br>&gt;<br>&gt;все правильно, вы транслируете адрес в адрес <br>&gt;если не хотите доступность снаружи, закрывайте при помощи ACL и, по желанию, <br>&gt;ip inspect <br>&gt;<br>&gt;inside отличается от outside тем ЧТО транслировать. В первом случае транслируются source, <br>&gt;во втором destination адреса IP пакета <br><br>Вопрос тут в static NAT. Он отличается от обычного тем, что это двухсторонняя трансляция.<br>То есть, если, как в Вашем NAT'е:<br>ip nat inside source static 172.16.16.2 85.21.122.4<br><br>то это значит, что, обращаясь извне на адрес 85.21.122.4, Вы будете попадать на адрес 172.16.16.2. <br><br><br> https://slinkov.ru/openforum/vsluhforumID6/16233.html#4 Sat, 10 May 2008 07:59:36 GMT &gt;Всем доброго времени суток! Хотелось бы разобраться в одном вопросе. <br>&gt;Топология сети: <br>&gt;Локальная сеть: 172.16.16.0/24 <br>&gt;В локальной сети существует некий сервер с адресом: 172.16.16.2 <br>&gt;Есть cisco рутер: e0/0: 172.16.16.2, e0/1:85.21.122.3,85.21.122.4 secondary <br><br>здесь опечатка, на роутере другой адрес<br><br>&gt;[оверквотинг удален]<br>&gt;<br>&gt;С первым пунктом все ясно, второй пункт я решил таким образом: <br>&gt;ip nat inside source static 172.16.16.2 85.21.122.4 <br>&gt;Но у меня возникла заминка, я с удаленного компьютера легко зашел по <br>&gt;RDP на этот сервер, по 85.21.122.4:3389 чему был удивлен. <br>&gt;До этого момента я думал что inside это когда я разрешаю транслировать <br>&gt;внутренний ip во внешний, и никак ни с внешнего ip на <br>&gt;внутренний. Я нихочу опубликовывать порты внутреннего сервера внаружу. Поясните пожалуйста как <br>&gt;это можно сделать, почему получилась такая ситуация и чем же отличается <br>&gt;тогда inside от outside. <br><br>все правильно, вы транслируете адрес в адрес<br>если не хотите доступность снаружи, закрывайте п https://slinkov.ru/openforum/vsluhforumID6/16233.html#3 Fri, 09 May 2008 20:21:13 GMT &gt;[оверквотинг удален]<br>&gt;&gt;RDP на этот сервер, по 85.21.122.4:3389 чему был удивлен. <br>&gt;&gt;До этого момента я думал что inside это когда я разрешаю транслировать <br>&gt;&gt;внутренний ip во внешний, и никак ни с внешнего ip на <br>&gt;&gt;внутренний. Я нихочу опубликовывать порты внутреннего сервера внаружу. Поясните пожалуйста как <br>&gt;&gt;это можно сделать, почему получилась такая ситуация и чем же отличается <br>&gt;&gt;тогда inside от outside. <br>&gt;&gt;<br>&gt;&gt;<br>&gt;<br>&gt;Можно позырыть на конфиг? <br><br>Да можно, вот выборка:<br>interface Ethernet0/0<br> ip address 85.21.122.3 255.255.255.240<br> ip nat outside<br> half-duplex<br>!<br>interface Ethernet0/1<br> ip address 172.16.16.254 255.255.255.0<br> ip nat inside<br> half-duplex<br>!<br>interface Ethernet0/2<br> no ip address<br> shutdown<br> half-duplex<br>!<br>interface Ethernet0/3<br> no ip address<br> shutdown<br> half-duplex<br>!<br>ip nat pool Inet.3 85.21.122.3 85.21.122.3 netmask 255.255.255.240<br>ip nat inside source list 1 pool Inet.3 overload<br>ip nat inside source static 172.16.16.2 85.21.122.4<br> https://slinkov.ru/openforum/vsluhforumID6/16233.html#2 Fri, 09 May 2008 20:19:50 GMT &gt;[оверквотинг удален]<br>&gt;&gt;RDP на этот сервер, по 85.21.122.4:3389 чему был удивлен. <br>&gt;&gt;До этого момента я думал что inside это когда я разрешаю транслировать <br>&gt;&gt;внутренний ip во внешний, и никак ни с внешнего ip на <br>&gt;&gt;внутренний. Я нихочу опубликовывать порты внутреннего сервера внаружу. Поясните пожалуйста как <br>&gt;&gt;это можно сделать, почему получилась такая ситуация и чем же отличается <br>&gt;&gt;тогда inside от outside. <br>&gt;&gt;<br>&gt;&gt;<br>&gt;<br>&gt;Можно позырыть на конфиг? <br><br>interface Ethernet0/0<br> ip address 85.21.122.3 255.255.255.240<br> ip nat outside<br> half-duplex<br>!<br>interface Ethernet0/1<br> ip address 172.16.16.254 255.255.255.0<br> ip nat inside<br> half-duplex<br>!<br>interface Ethernet0/2<br> no ip address<br> shutdown<br> half-duplex<br>!<br>interface Ethernet0/3<br> no ip address<br> shutdown<br> half-duplex<br>!<br>ip nat pool Inet.3 85.21.122.3 85.21.122.3 netmask 255.255.255.240<br>ip nat inside source list 1 pool Inet.3 overload<br>ip nat inside source static 172.16.16.2 85.21.122.4<br>