https://www.opennet.me/openforum/vsluhforumID6/17020.html Всем доброго времени суток.<br>Есть Cisco 1751, стоит между локалкой и интернетом. Провайдер дал сеть xxx.xxx.130.0/28.<br>В локалке есть DNS сервер. Master поднять в другом месте не представляется возможным. Подскажите, как можно "вынести" его наружу, только не физически :) Т.е. чтобы днс запрос пришел на внешний интерфейс маршрутизатора, тот переправил его в локалку к ДНС-серверу и потом обратно. (По аналогии с PREROUTING и POSTROUTING в iptables.) Столкнулся с cisco впервые, вот пока что куря маны удалось насобирать:<br><br>Internet_Cisco1751#sh run<br><br>version 12.2<br>service config<br>service timestamps debug uptime<br>service timestamps log uptime<br>no service password-encryption<br>service udp-small-servers<br>service tcp-small-servers<br>!<br>hostname Internet_Cisco1751<br>!<br>no logging on<br>enable secret 5 $xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx<br>enable password xxxxxxxxxxxxxxxxx<br>!<br>username xxxx privilege 15 password 0 xxxxxxxxxxxxxxxxx<br>memory-size iomem 25<br>aaa new-model<br>!<br>!<br>aaa authentication password-prompt password:<br>aaa a https://www.opennet.me/openforum/vsluhforumID6/17020.html#8 Wed, 27 Aug 2008 13:12:59 GMT &gt;[оверквотинг удален]<br>&gt;В конфигурировании cisco я полный дилетант. <br>&gt;Не могу понять как можно в данном случае обойтись без пула адресов. <br>&gt;<br>&gt;Если можно, то покажите пример как просто сделать так, чтобы на внешнем <br>&gt;интерфейсе было 4 адреса: <br>&gt;Через первый выходилть в инетрнет по страницам лазить, <br>&gt;на втором был dns-сервер (трансляция из локальной сети), <br>&gt;на 3-м smtp и на 4-м pop3 (так же трансляция адреса из <br>&gt;локалки во вне). <br>&gt;И всё это без пула. <br><br>на надо на внешнем интерфейсе адреса плодить<br>как это делается я показал<br>вот читай, тут много примеров<br>http://www.cisco.com/en/US/tech/tk648/tk361/tk438/tsd_technology_support_sub-protocol_home.html<br> https://www.opennet.me/openforum/vsluhforumID6/17020.html#7 Wed, 27 Aug 2008 13:06:34 GMT &gt;не очень понял "это все дело" что значит? <br>&gt;транслитуйте не через пул, а на адрес или интерфейс с указанием что <br>&gt;на что транслируется <br><br>В конфигурировании cisco я полный дилетант.<br>Не могу понять как можно в данном случае обойтись без пула адресов.<br>Если можно, то покажите пример как просто сделать так, чтобы на внешнем интерфейсе было 4 адреса: <br>Через первый выходилть в инетрнет по страницам лазить,<br>на втором был dns-сервер (трансляция из локальной сети),<br>на 3-м smtp и на 4-м pop3 (так же трансляция адреса из локалки во вне).<br>И всё это без пула.<br> https://www.opennet.me/openforum/vsluhforumID6/17020.html#6 Wed, 27 Aug 2008 12:55:51 GMT &gt;[оверквотинг удален]<br>&gt;прописана директива по соображениям безопасности: <br>&gt;zone "xxxxxx.ru" IN { <br>&gt; type master; <br>&gt; file "named.xxxxxx"; <br>&gt; allow-transfer { xxx.xxx.130.10; xxx.xxx.243.90; <br>&gt;}; <br>&gt;<br>&gt;Теперь собственно вопрос такой, как заставить, чтобы ответ от ДНС-сервера, который находится <br>&gt;за маршрутизатором возвращался с адреса xxx.xxx.130.10, который на eth1/0 прописан, как <br>&gt;секондари. Или вообще, как по другому можно организовать всё это дело, <br><br>ip nat inside source static udp DNS-SERVER 53 xxx.xxx.130.10 53 ext<br>ip nat inside source static tcp DNS-SERVER 53 xxx.xxx.130.10 53 ext<br><br>&gt;например так, чтобы назначить нужное кол-во адресов на внешнем интерфейсе, и <br>&gt;чтобы в соответствии с определенными правилами на адрес приходил пакет из <br>&gt;вне и результат был возвращен с того адреса, на который пришел <br>&gt;пакет. И ещё, если можно, то наставьте на истинный путь, как <br>&gt;можно это дело всё организовать без пула адресов. <br><br>не очень понял "это все дело" что значит?<br>транслитуй https://www.opennet.me/openforum/vsluhforumID6/17020.html#5 Wed, 27 Aug 2008 12:13:26 GMT Чего ещё хотел спросить...<br>Есть у меня такие строки в конфиге:<br>interface Ethernet1/0<br>ip address xxx.xxx.130.10 255.255.255.240 secondary<br>ip address xxx.xxx.130.3 255.255.255.240<br>ip access-group 101 out<br>ip nat outside<br>full-duplex<br>no cdp enable<br>!<br>ip nat pool Internet xxx.xxx.130.4 xxx.xxx.130.14 netmask 255.255.255.240<br>ip nat inside source list 1 pool Internet<br>ip classless<br>ip route 0.0.0.0 0.0.0.0 xxx.xxx.130.1<br>no ip http server<br>!<br>!<br>access-list 1 permit 172.16.1.0 0.0.0.255<br>access-list 101 deny tcp any any eq telnet<br>access-list 101 permit tcp 172.16.1.0 0.0.0.255 any eq telnet<br><br>Когда из локалки кто-то выходит в инет, то во внешке им сопоставляются адреса из ip nat pool Internet.<br><br>так вот, мой ДНС ещё являетяс и слэйвом другого сервера, но зоны с мастера потянуть не могёт по причине того, что на мастере прописана директива по соображениям безопасности:<br>zone "xxxxxx.ru" IN {<br> type master;<br> file "named.xxxxxx";<br> allow-transfer { xxx.xxx.130.10; xxx.xxx.243.90; };<br> https://www.opennet.me/openforum/vsluhforumID6/17020.html#4 Tue, 26 Aug 2008 14:14:25 GMT &gt;&gt;ip nat inside soutce static tcp xxx.xxx.xxx.xxx 53 yyy.yyy.yyy.yyy 53 <br>&gt;&gt;ip nat inside soutce static udp xxx.xxx.xxx.xxx 53 yyy.yyy.yyy.yyy 53 <br>&gt;&gt;<br>&gt;&gt;xxx.xxx.xxx.xxx - внутренний адрес где стоит DNS <br>&gt;&gt;yyy.yyy.yyy.yyy - внешний адрес <br>&gt;<br>&gt;Ну и я так полагаю, что например если я почтовый сервак поставлю <br>&gt;у себя в локалке, то <br>&gt;для 25 и 110 портов будет по аналогии всё ? <br><br>угу... тока внимательно думать что и как открывать<br> https://www.opennet.me/openforum/vsluhforumID6/17020.html#3 Tue, 26 Aug 2008 13:10:55 GMT &gt;&gt;ip nat inside soutce static tcp xxx.xxx.xxx.xxx 53 yyy.yyy.yyy.yyy 53 <br>&gt;&gt;ip nat inside soutce static udp xxx.xxx.xxx.xxx 53 yyy.yyy.yyy.yyy 53 <br>&gt;&gt;<br>&gt;&gt;xxx.xxx.xxx.xxx - внутренний адрес где стоит DNS <br>&gt;&gt;yyy.yyy.yyy.yyy - внешний адрес <br>&gt;<br>&gt;Ну и я так полагаю, что например если я почтовый сервак поставлю <br>&gt;у себя в локалке, то <br>&gt;для 25 и 110 портов будет по аналогии всё ? <br><br>Может не стоит 110 открывать снаружи? Есть pop3 over SSL/TLS (995)... А так аналогично, только udp не надо.<br> https://www.opennet.me/openforum/vsluhforumID6/17020.html#2 Tue, 26 Aug 2008 12:50:29 GMT &gt;ip nat inside soutce static tcp xxx.xxx.xxx.xxx 53 yyy.yyy.yyy.yyy 53 <br>&gt;ip nat inside soutce static udp xxx.xxx.xxx.xxx 53 yyy.yyy.yyy.yyy 53 <br>&gt;<br>&gt;xxx.xxx.xxx.xxx - внутренний адрес где стоит DNS <br>&gt;yyy.yyy.yyy.yyy - внешний адрес <br><br>Ну и я так полагаю, что например если я почтовый сервак поставлю у себя в локалке, то<br>для 25 и 110 портов будет по аналогии всё ?<br> https://www.opennet.me/openforum/vsluhforumID6/17020.html#1 Tue, 26 Aug 2008 12:47:54 GMT &gt;[оверквотинг удален]<br>&gt; login authentication conslist <br>&gt;line aux 0 <br>&gt;line vty 0 4 <br>&gt; access-class 28 out <br>&gt; privilege level 7 <br>&gt; password xxxxxxxxxx <br>&gt; login authentication vtylist <br>&gt;! <br>&gt;no scheduler allocate <br>&gt;end <br><br>ip nat inside soutce static tcp xxx.xxx.xxx.xxx 53 yyy.yyy.yyy.yyy 53<br>ip nat inside soutce static udp xxx.xxx.xxx.xxx 53 yyy.yyy.yyy.yyy 53<br><br>xxx.xxx.xxx.xxx - внутренний адрес где стоит DNS<br>yyy.yyy.yyy.yyy - внешний адрес<br>