URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20012
[ Назад ]

Исходное сообщение
"Прокинуть порт. Опять."
Отправлено Ricos , 12-Ноя-09 19:06

Привет! Есть следущая задача: есть cisco 2811, инет получает по e1.
На интерфейсе FastEthernet0/0 сидит локалка с инетом. Необходимо к интерфейсу
FastEthernet0/1 подвесить комп с адресом, к примеру 192.168.227.1 и прокинуть на
него порт 13000 с интернета, но что бы больше доступа с компа никуда не было.
На компе будет стоять прога, которая будет принимать данные с GPS приемника, который
с объека по GPRS передает данные о своем местонахождении на наш чистый IP на порт 13000.
Нада что бы прога на компе 192.168.227.1 эти данные принимала. Как прокинуть порт?
И как закрыть доступ к всему остальному. Надеюсь подробно все объяснил, сорри за ламеризм, но решение нада найти быстро. Заранее спасибо.
Конфиг:
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname aaaaa
!
boot-start-marker
boot system flash c2800nm-ipbase-mz.123-14.T4.bin
boot-end-marker
!
card type e1 0 1
enable secret bbbbbbbbbbbb
enable password ccccccccccc
!
no aaa new-model
!
resource policy
!
no network-clock-participate wic 1
ip subnet-zero
!
ip cef
no ip dhcp use vrf connected
!
no ftp-server write-enable
!
controller E1 0/1/0
channel-group 0 timeslots 1-2
description E1 Uplink
!
interface FastEthernet0/0
description LAN1 Link
ip address 192.168.228.1 255.255.255.0
ip nat inside
duplex half
speed auto
no mop enabled
!
interface FastEthernet0/1
description LAN2 Link
ip address 192.168.227.1 255.255.255.0
duplex half
speed auto
no mop enabled
!
interface Serial0/0/0
ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
ip nat outside
!
ip classless
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx
!
no ip http server
ip nat pool int_pool 192.168.228.0 192.168.228.255 netmask 255.255.255.0
!
access-list 1 permit 192.168.228.0 0.0.0.255
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password xxxxxxxxxxxxx
login
line vty 5 321
login
line vty 322 326
password xxxxxxxxxxxxx
login
!
scheduler allocate 20000 1000
!
end

Содержание

Прокинуть порт. Опять.,Stell, 20:55 , 12-Ноя-09
- Прокинуть порт. Опять.,Ricos, 22:04 , 12-Ноя-09
  - Прокинуть порт. Опять.,Stell, 22:24 , 12-Ноя-09
    - Прокинуть порт. Опять.,Ricos, 22:51 , 12-Ноя-09
    - Прокинуть порт. Опять.,Ricos, 00:07 , 13-Ноя-09

Сообщения в этом обсуждении

"Прокинуть порт. Опять."
Отправлено Stell , 12-Ноя-09 20:55

>Необходимо к интерфейсу
>FastEthernet0/1 подвесить комп с адресом, к примеру 192.168.227.1 и прокинуть на
>него порт 13000 с интернета, но что бы больше доступа с компа никуда не было.
>interface FastEthernet0/1
>description LAN2 Link
>ip address 192.168.227.1 255.255.255.0
>duplex half
>speed auto
>no mop enabled
Вы уж определитесь: 192.168.227.1 - это адрес компьютера или интерфейса на роутере?
Допустим, все-таки что адрес компа будет 192.168.227.2
interface FastEthernet0/1
ip nat inside
ip nat inside source static udp 192.168.227.2 13000 <public_ip> 13000 extendable

Вешаете на fa0/1 акцесс-листы и разрешаете/запрещаете все что угодно.

"Прокинуть порт. Опять."
Отправлено Ricos , 12-Ноя-09 22:04

Спасибо за ответ.
>Вы уж определитесь: 192.168.227.1 - это адрес компьютера или интерфейса на роутере?
192.168.227.1 - внутр. адр. 2-го F/e роутера.
192.168.227.2 - ip компа
>Вешаете на fa0/1 акцесс-листы и разрешаете/запрещаете все что угодно.
Как запретить все кроме этого порта? Откуда будут приходить даннные я не знаю, знаю только на какой порт. Соответственно куда она прога отправлять будет не знаю тоже, знаю только порт 13000. Инета на компе быть не должно. Я не смогу сам такой акцест лист составить. Ну тупень я :)

"Прокинуть порт. Опять."
Отправлено Stell , 12-Ноя-09 22:24

Порт 13000 TCP или UDP (хотя я полагаю что UDP)?
Компьютер что-то должен отправлять наружу в ответ? Если не нужно, то можно так:
ip access list extended fa01_out
  permit udp any host 192.168.227.2 eq 13000
ip access list extended fa01_in
  deny ip any any
int fa0/1
  ip access-group fa01_out out
  ip access-group fa01_in in

"Прокинуть порт. Опять."
Отправлено Ricos , 12-Ноя-09 22:51

>Порт 13000 TCP или UDP (хотя я полагаю что UDP)?
>Компьютер что-то должен отправлять наружу в ответ?
Чесно, не знаю. Все что знаю это (цитата) "Таким образом терминал будет передавать данные на Сервер с IP-адресом xxx.xxx.xxx.xxx по порту 12300. А клиентская часть (программа мониторинга) будет получать данные с Сервера по порту 12300." Наверное UDP, и прога судя по всему ничего пулять не будет в ответ.
А вот тут:
>ip access list extended fa01_out
>  permit udp any host 192.168.227.2 eq 13000
>ip access list extended fa01_in
>  deny ip any any
>int fa0/1
>  ip access-group fa01_out out
>  ip access-group fa01_in in
in c out не перепутаны случаем? Или я запутался?

"Прокинуть порт. Опять."
Отправлено Ricos , 13-Ноя-09 00:07

Пока сделал так:
тыц
controller E1 0/1/0
channel-group 0 timeslots 1-2
description e1
!
interface FastEthernet0/0
description lan1 Link
ip address 192.168.228.1 255.255.255.0
ip nat inside
duplex half
speed auto
no mop enabled
!
interface FastEthernet0/1
ip address 192.168.227.1 255.255.255.0
ip access-group fa01_in in
ip access-group fa01_out out
ip nat inside
duplex full
speed auto
no mop enabled
!
interface Serial0/0/0
ip address xxx.xxx.xxx.xxx 255.255.255.252
ip nat outside
!
ip classless
ip route 0.0.0.0 0.0.0.0 yyy.yyy.yyy.yyyy
!
no ip http server
ip nat pool _pool 192.168.228.0 192.168.228.255 netmask 255.255.255.0
ip nat inside source list 1 interface Serial0/0/0 overload
ip nat inside source static udp 192.168.227.2 12300 xxx.xxx.xxx.xxx 12300 extendable
!
ip access-list extended fa01_in
deny ip any any
ip access-list extended fa01_out
permit udp any host 192.168.227.2 eq 12300
!
access-list 1 permit 192.168.228.0 0.0.0.255
dialer-list 1 protocol ip permit
!
control-plane
!
тыц
Завтра посмотрим заработает ли.