https://opennet.ru/openforum/vsluhforumID6/21037.html Добрый день всем.<br><br>Настраиваю простой проброс порта на циске, работает, но есть нюанс, который хотелось бы побороть.<br><br>Простейший случай. Два интерфейса, между ними нат:<br>Внешний nat outside 63.118.73.6/30 на провайдера <br>Внутренний nat inside 79.109.91.128/26 на DMZ зону<br><br>пробросы работают на ура, например<br>ip nat inside source static tcp 79.109.91.141 501 63.118.73.6 501 extendable no-alias<br><br>но при этом перестаёт работать простой коннект снаружи на хост на этот порт.<br>грубо говоря до прописывания проброса работает прямой коннект 79.109.91.141 501<br>при прописывании правила проброса порта работает 63.118.73.6 501 но перестает работать<br>коннект 79.109.91.141 501<br><br>правило ната перекрывает кислород прямой работе? как обойти, подскажите...<br> https://opennet.ru/openforum/vsluhforumID6/21037.html#22 Tue, 25 May 2010 09:33:29 GMT Кстати в этом методе, равно как и в других, все равно не работает еще один варинт. Если попытаться коннектиться с хостов которые сами находятся на интерфейсах меченых как ip nat inside.<br>У меня в моей конфигурации есть еще несколько интерфейсов - на локалку, на туннели, которые ip nat inside. Так вот с них коннект остался проблемным, но по другому. Тут не работает правило вовсе - коннект на новый хост есть, а коннект на хост который должен пробрасывать пакеты на новый - не работает...<br><br>Решается это только если я выкидываю интерфейсы наружу роутинга дав им ip nat outside.<br>но тогда другие косяки... в общем вопрос интересный %)<br> https://opennet.ru/openforum/vsluhforumID6/21037.html#21 Fri, 21 May 2010 06:35:48 GMT &gt;Вытащить например пассивный ftp наружу. А в этом случае просто один порт. <br>&gt;Другое дело зачем так нужно... <br><br>Ну в моем случае есть огромная куча хостов которая коннектится к этому сервису на старом сервере. а у меня переезд на новую платформу в самом разгаре. И постепенно клиенты сменят хост на новый. но сервис на старом хосте уже остановлен. А таким образом я обеспечиваю безостановочность работы сервиса и плавную смену без перебоев с этим связанными.<br> https://opennet.ru/openforum/vsluhforumID6/21037.html#20 Fri, 21 May 2010 06:32:56 GMT &gt;&gt;ip nat pool poolnat 79.109.91.140 79.109.91.140 netmask 255.255.255.0 type rotary <br>&gt;<br>&gt;netmask только 255.255.255.192 <br><br>А собственно почему 192? минимум можно 255.255.255.252 тут поставить. тут пул из 1 хоста, но маску 32 поставить нельзя. только 30.<br>Здесь же вроде бы не обязательно маску ставить точно такую же, какая используется в определении рабочей подсети где идет наттинг. Насколько я помню маска пула и маска подсети это разные вещи.<br> https://opennet.ru/openforum/vsluhforumID6/21037.html#19 Thu, 20 May 2010 14:09:23 GMT &gt;Народ это круто! Но это костыли... ((( <br><br>Почему костыли?<br>&#8226; Enabling translation of inside destination addresses<br>ip nat inside destination { list &lt;acl&gt; pool &lt;name&gt;<br>&#124; static &lt;global-ip&gt; &lt;local-ip&gt; }<br>This command is similar to the source translation command. For dynamic destination translation to make any sense, the pool should be a rotary-type pool.<br><br>Вытащить например пассивный ftp наружу. А в этом случае просто один порт. Другое дело зачем так нужно...<br><br> https://opennet.ru/openforum/vsluhforumID6/21037.html#18 Thu, 20 May 2010 13:56:33 GMT &gt;ip nat pool poolnat 79.109.91.140 79.109.91.140 netmask 255.255.255.0 type rotary <br><br>netmask только 255.255.255.192<br> https://opennet.ru/openforum/vsluhforumID6/21037.html#17 Thu, 20 May 2010 13:54:34 GMT Народ это круто! Но это костыли... (((<br> https://opennet.ru/openforum/vsluhforumID6/21037.html#16 Thu, 20 May 2010 13:52:10 GMT &gt;не..., там ip nat inside destination..., последний пост. <br><br>Помоему заработало :)<br>Во всяком случае телнеты на оба хоста проходят.<br>Из дому завтра прогу попробую, которая на этом порту с нашим сервером работает. Если все ок, то решение вот оно.<br>Спасибо %)<br> https://opennet.ru/openforum/vsluhforumID6/21037.html#15 Thu, 20 May 2010 13:46:07 GMT &gt;Может стоит попробовать пробросить как в последнем посте тут http://www.certification.ru/cgi-bin/forum.cgi?action=thread&id=30794 <br><br>Попробовал. Телнеты проходят на оба хоста, как бы работает... Завтра с утра из дому попробую запустить утилитку которая по этому порту с серваком работает, проверю все ли ок.<br><br>Вот куск конфига:<br><br>ip access-list extended portnat<br> permit tcp any host 79.109.73.6 eq 501<br>ip nat pool poolnat 79.109.91.140 79.109.91.140 netmask 255.255.255.0 type rotary<br>ip nat inside destination list portnat pool poolnat<br> https://opennet.ru/openforum/vsluhforumID6/21037.html#14 Thu, 20 May 2010 13:16:02 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;tcp 79.109.73.6:501 79.109.91.140:501 <br>&gt; --- <br>&gt; --- <br>&gt;tcp 79.109.73.6:501 79.109.91.140:501 <br>&gt; 89.213.197.150:57879 89.213.197.150:57879 <br>&gt;<br>&gt;транзакции идентичные в обоих случаях, на какой бы я из хостов не <br>&gt;обращался. <br>&gt;<br><br>А src порты то поменялись. А если обращаться на целевой хост, то строчки по идее не должно быть. А если она есть то она создается на обратном пакете(т.е. все ответы с 501-го порта целевого хоста просто переписываются).<br>&gt;&gt;Может стоит попробовать пробросить как в последнем посте тут http://www.certification.ru/cgi-bin/forum.cgi?action=thread&id=30794 <br>&gt;<br>&gt;Через роутмапы то? попробую. <br><br>не..., там ip nat inside destination..., последний пост.<br><br>