URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20822
[ Назад ]

Исходное сообщение
"Перенаправление портов извне"
Отправлено SeaWalker , 06-Апр-10 07:07

День добрый всем.
Есть вопрос.
Ситуация:
есть циска 28 серии, есть на ней 2 внешних интерфейса(фа 0/0 и 0/1) и 1 (влан) внутренний
1 внешний имеет белый ИП, второй серый ИП - принимает данные с другой подсети(туннеля нет). Вопрос!!! Как перенаправить порт(25 и 110) с одного внешнего (серого) интерфейса на другой (белый) интерфейс?

Содержание

Перенаправление портов извне,Gbyte, 07:17 , 06-Апр-10
- Перенаправление портов извне,SeaWalker, 08:24 , 06-Апр-10
  - Перенаправление портов извне,Gbyte, 08:27 , 06-Апр-10
    - Перенаправление портов извне,SeaWalker, 08:58 , 06-Апр-10
      - Перенаправление портов извне,SeaWalker, 09:04 , 06-Апр-10
        
        Перенаправление портов извне,SeaWalker, 09:06 , 06-Апр-10
        
        Перенаправление портов извне,Gbyte, 10:26 , 06-Апр-10
        
        Перенаправление портов извне,SeaWalker, 10:51 , 06-Апр-10
        Перенаправление портов извне,SeaWalker, 10:55 , 06-Апр-10
        
        Перенаправление портов извне,SeaWalker, 10:57 , 06-Апр-10
        
        Перенаправление портов извне,gagner, 17:15 , 06-Апр-10
        
        Перенаправление портов извне,SeaWalker, 07:16 , 07-Апр-10
        
        Перенаправление портов извне,gagner, 11:41 , 07-Апр-10
        
        Перенаправление портов извне,SeaWalker, 12:38 , 07-Апр-10
        
        Перенаправление портов извне,gagner, 14:57 , 07-Апр-10
        
        Перенаправление портов извне,SeaWalker, 15:32 , 07-Апр-10
        
        Перенаправление портов извне,Gbyte, 15:39 , 07-Апр-10
        
        Перенаправление портов извне,gagner, 16:07 , 07-Апр-10
        
        Перенаправление портов извне,Gbyte, 16:09 , 07-Апр-10
        
        Перенаправление портов извне,gagner, 16:12 , 07-Апр-10
        
        Перенаправление портов извне,Gbyte, 16:14 , 07-Апр-10
        
        Перенаправление портов извне,gagner, 16:18 , 07-Апр-10
        
        Перенаправление портов извне,gagner, 15:40 , 07-Апр-10
        
        Перенаправление портов извне,SeaWalker, 16:18 , 07-Апр-10
        
        Перенаправление портов извне,gagner, 16:21 , 07-Апр-10
        
        Перенаправление портов извне,SeaWalker, 16:59 , 07-Апр-10
        
        Перенаправление портов извне,gagner, 17:07 , 07-Апр-10
        
        Перенаправление портов извне,SeaWalker, 18:04 , 07-Апр-10
        
        Перенаправление портов извне,gagner, 18:29 , 07-Апр-10
        Перенаправление портов извне,GByte, 19:17 , 07-Апр-10
        
        Перенаправление портов извне,SeaWalker, 07:36 , 08-Апр-10

Сообщения в этом обсуждении

"Перенаправление портов извне"
Отправлено Gbyte , 06-Апр-10 07:17

>День добрый всем.
>Есть вопрос.
>Ситуация:
>есть циска 28 серии, есть на ней 2 внешних интерфейса(фа 0/0 и
>0/1) и 1 (влан) внутренний
>1 внешний имеет белый ИП, второй серый ИП - принимает данные с
>другой подсети(туннеля нет). Вопрос!!! Как перенаправить порт(25 и 110) с одного
>внешнего (серого) интерфейса на другой (белый) интерфейс?
перенаправить что значит? слушать 25 и 110ый порты на Fa0/1 и все соединения принимающиеся на порт перенаправлять куда-то в интернет?

"Перенаправление портов извне"
Отправлено SeaWalker , 06-Апр-10 08:24

да

"Перенаправление портов извне"
Отправлено Gbyte , 06-Апр-10 08:27

>да
то есть нужен smtp/pop3 прокси?
Тогда используй НАТ.

"Перенаправление портов извне"
Отправлено SeaWalker , 06-Апр-10 08:58

>>да
>
>то есть нужен smtp/pop3 прокси?
>
>Тогда используй НАТ.
пробовал, не проканало, доходит до внешнего серого и встает:
ip nat inside source static tcp <IP смтп> 25 interface FastEthernet0/1 25
...

"Перенаправление портов извне"
Отправлено SeaWalker , 06-Апр-10 09:04

пробовал
ip nat outside source static tcp <IP смтп> 25 interface FastEthernet0/1 25
результат тот же

"Перенаправление портов извне"
Отправлено SeaWalker , 06-Апр-10 09:06

или ты про сторонний, не на циске прокси

"Перенаправление портов извне"
Отправлено Gbyte , 06-Апр-10 10:26

>или ты про сторонний, не на циске прокси
покажи #sho run {fa0/0 fa0/1}
#sho run | i ip

"Перенаправление портов извне"
Отправлено SeaWalker , 06-Апр-10 10:51

>>или ты про сторонний, не на циске прокси
>
>покажи #sho run {fa0/0 fa0/1}
>#sho run | i ip
interface FastEthernet0/0
description connect to sclad
ip address 192.168.xxx.xxx 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
end
interface FastEthernet0/1
description Connect Internet
ip address 2xx.xxx.xxx.xxx 255.255.255.248
ip access-group in1 in
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
end
ip subnet-zero
ip cef
ip dhcp use vrf connected
ip dhcp pool TeVadI
ip flow-cache timeout inactive 60
ip flow-cache timeout active 10
ip name-server 212.49.96.129
ip name-server 212.49.96.101
no ip rcmd domain-lookup
ip rcmd rsh-enable
ip rcmd remote-host netams 192.168.xxx.xxx root enable
crypto ipsec transform-set TUNNEL esp-3des esp-sha-hmac
crypto ipsec profile P1
description -==sclad==-
ip unnumbered Vlan200
no ip redirects
no ip proxy-arp
tunnel protection ipsec profile P1
ip unnumbered Vlan200
no ip redirects
no ip proxy-arp
tunnel protection ipsec profile P1
no ip address
description connect to catalyst TRANK
ip address 192.168.xxx.xxx 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
description Connect Internet
ip address 2xx.xxx.xxx.xxx 255.255.255.248
ip access-group in1 in
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
description to lan
no ip address
no ip address
ip address 192.168.xxx.xxx 255.255.255.0
no ip redirects
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
ip route 0.0.0.0 0.0.0.0 2xx.xxx.xxx.xxx
ip route 192.168.xxx.xxx 255.255.255.0 Tunnel101
ip route 192.168.xxx.xxx 255.255.255.128 Tunnel102
ip route 192.168.xxx.xxx 255.255.255.0 (внешний серый IP)
ip dns server
ip dns spoofing
ip flow-export source FastEthernet0/1/0
ip flow-export version 5 origin-as
ip flow-export destination 192.168.xxx.xxx (port)
ip flow-top-talkers
no ip http server
ip http authentication aaa
no ip http secure-server
ip nat inside source list NATUsers interface FastEthernet0/1 overload
ip nat inside source static tcp (внешний pop) 110 interface FastEthernet0/0 110
ip nat inside source static tcp (внешний smtp) 25 interface FastEthernet0/0 25
ip nat inside source static tcp 192.168.xxx.xxx 3389 interface FastEthernet0/0 3389
ip nat inside source static tcp 192.168.xxx.xxx 5222 interface FastEthernet0/1 5222
ip access-list extended NATUsers
deny   ip 192.168.xxx.0 0.0.0.255 10.0.0.0 0.255.255.255
deny   ip 192.168.xxx.0 0.0.0.255 172.16.0.0 0.15.255.255
deny   ip host 192.168.xxx.0 192.168.0.0 0.0.255.255
permit ip 192.168.xxx.0 0.0.0.255 any
permit ip 192.168.xxx.0 0.0.0.255 any
ip access-list extended in1
deny   ip host 2xx.xxx.xxx.xxx any
deny   ip 0.0.0.0 1.255.255.255 any
deny   ip 2.0.0.0 0.255.255.255 any
deny   ip 5.0.0.0 0.255.255.255 any
deny   ip 14.0.0.0 0.255.255.255 any
deny   ip 23.0.0.0 0.255.255.255 any
deny   ip 27.0.0.0 0.255.255.255 any
deny   ip 31.0.0.0 0.255.255.255 any
deny   ip 36.0.0.0 1.255.255.255 any
deny   ip 39.0.0.0 0.255.255.255 any
deny   ip 42.0.0.0 0.255.255.255 any
deny   ip 46.0.0.0 0.255.255.255 any
deny   ip 49.0.0.0 0.255.255.255 any
deny   ip 50.0.0.0 0.255.255.255 any
deny   ip 100.0.0.0 3.255.255.255 any
deny   ip 104.0.0.0 7.255.255.255 any
deny   ip 112.0.0.0 1.255.255.255 any
deny   ip 127.0.0.0 0.255.255.255 any
deny   ip 169.254.0.0 0.0.255.255 any
deny   ip 172.16.0.0 0.15.255.255 any
deny   ip 173.0.0.0 0.255.255.255 any
deny   ip 174.0.0.0 1.255.255.255 any
deny   ip 176.0.0.0 7.255.255.255 any
deny   ip 184.0.0.0 1.255.255.255 any
deny   ip 192.0.2.0 0.0.0.255 any
deny   ip 197.0.0.0 0.255.255.255 any
deny   ip 198.18.0.0 0.1.255.255 any
deny   ip 224.0.0.0 31.255.255.255 any
deny   ip host 65.105.140.210 any
deny   ip host 62.105.149.114 any
deny   ip host 212.44.136.194 any
deny   ip host 212.119.216.134 any
deny   ip host 93.186.228.129 any
deny   ip host 93.186.228.130 any
deny   ip host 93.186.224.233 any
deny   ip host 93.186.224.234 any
deny   ip host 93.186.224.235 any
deny   ip host 93.186.224.236 any
deny   ip host 93.186.224.237 any
deny   ip host 93.186.224.238 any
deny   ip host 93.186.224.239 any
deny   ip host 93.186.225.6 any
deny   ip host 93.186.225.211 any
deny   ip host 93.186.225.212 any
deny   ip host 93.186.226.4 any
deny   ip host 93.186.226.5 any
deny   ip host 93.186.226.129 any
deny   ip host 93.186.226.130 any
deny   ip host 93.186.227.123 any
deny   ip host 93.186.227.124 any
deny   ip host 93.186.227.125 any
deny   ip host 93.186.227.126 any
deny   ip host 93.186.227.129 any
deny   ip host 93.186.227.130 any
deny   ip any any log
ip access-list extended in2
deny   ip host 2xx.xxx.xxx.xxx any
deny   ip 0.0.0.0 1.255.255.255 any
deny   ip 2.0.0.0 0.255.255.255 any
deny   ip 5.0.0.0 0.255.255.255 any
deny   ip 14.0.0.0 0.255.255.255 any
deny   ip 23.0.0.0 0.255.255.255 any
deny   ip 27.0.0.0 0.255.255.255 any
deny   ip 31.0.0.0 0.255.255.255 any
deny   ip 36.0.0.0 1.255.255.255 any
deny   ip 39.0.0.0 0.255.255.255 any
deny   ip 42.0.0.0 0.255.255.255 any
deny   ip 46.0.0.0 0.255.255.255 any
deny   ip 49.0.0.0 0.255.255.255 any
deny   ip 50.0.0.0 0.255.255.255 any
deny   ip 100.0.0.0 3.255.255.255 any
deny   ip 104.0.0.0 7.255.255.255 any
deny   ip 112.0.0.0 1.255.255.255 any
deny   ip 127.0.0.0 0.255.255.255 any
deny   ip 169.254.0.0 0.0.255.255 any
deny   ip 172.16.0.0 0.15.255.255 any
deny   ip 173.0.0.0 0.255.255.255 any
deny   ip 174.0.0.0 1.255.255.255 any
deny   ip 176.0.0.0 7.255.255.255 any
deny   ip 184.0.0.0 1.255.255.255 any
deny   ip 192.0.2.0 0.0.0.255 any
deny   ip 197.0.0.0 0.255.255.255 any
deny   ip 198.18.0.0 0.1.255.255 any
deny   ip 224.0.0.0 31.255.255.255 any
deny   ip any any log
ip access-list extended out1
deny   ip 42.0.0.0 0.255.255.255 any
deny   ip 0.0.0.0 1.255.255.255 any
deny   ip 2.0.0.0 0.255.255.255 any
deny   ip 5.0.0.0 0.255.255.255 any
deny   ip 10.0.0.0 0.255.255.255 any
deny   ip 14.0.0.0 0.255.255.255 any
deny   ip 23.0.0.0 0.255.255.255 any
deny   ip 27.0.0.0 0.255.255.255 any
deny   ip 31.0.0.0 0.255.255.255 any
deny   ip 36.0.0.0 1.255.255.255 any
deny   ip 39.0.0.0 0.255.255.255 any
deny   ip 46.0.0.0 0.255.255.255 any
deny   ip 49.0.0.0 0.255.255.255 any
deny   ip 50.0.0.0 0.255.255.255 any
deny   ip 100.0.0.0 3.255.255.255 any
deny   ip 104.0.0.0 7.255.255.255 any
deny   ip 112.0.0.0 1.255.255.255 any
deny   ip 127.0.0.0 0.255.255.255 any
deny   ip 169.254.0.0 0.0.255.255 any
deny   ip 172.16.0.0 0.15.255.255 any
deny   ip 173.0.0.0 0.255.255.255 any
deny   ip 174.0.0.0 1.255.255.255 any
deny   ip 176.0.0.0 7.255.255.255 any
deny   ip 184.0.0.0 1.255.255.255 any
deny   ip 192.0.2.0 0.0.0.255 any
deny   ip 197.0.0.0 0.255.255.255 any
deny   ip 198.18.0.0 0.1.255.255 any
deny   ip 223.0.0.0 0.255.255.255 any
deny   ip 224.0.0.0 31.255.255.255 any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
ip access-list extended pochta
access-list 100 dynamic NETAMS
deny   ip any any
access-list 100 permit ip any any
match ip address 11
match ip address pochta

"Перенаправление портов извне"
Отправлено SeaWalker , 06-Апр-10 10:55

>>или ты про сторонний, не на циске прокси
>
>покажи #sho run {fa0/0 fa0/1}
>#sho run | i ip
interface FastEthernet0/0
description connect to sclad
ip address 192.168.xxx.xxx 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
end
interface FastEthernet0/1
description Connect Internet
ip address 2xx.xxx.xxx.xxx 255.255.255.248
ip access-group in1 in
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
end
ip subnet-zero
ip cef
ip dhcp use vrf connected
ip dhcp pool Firma
ip flow-cache timeout inactive 60
ip flow-cache timeout active 10
ip name-server 212.49.96.129
ip name-server 212.49.96.101
no ip rcmd domain-lookup
ip rcmd rsh-enable
ip rcmd remote-host netams 192.168.xxx.xxx root enable
crypto ipsec transform-set TUNNEL esp-3des esp-sha-hmac
crypto ipsec profile P1
description -==sclad==-
ip unnumbered Vlan200
no ip redirects
no ip proxy-arp
tunnel protection ipsec profile P1
ip unnumbered Vlan200
no ip redirects
no ip proxy-arp
tunnel protection ipsec profile P1
no ip address
description connect to catalyst TRANK
ip address 192.168.xxx.xxx 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
description Connect Internet
ip address 2xx.xxx.xxx.xxx 255.255.255.248
ip access-group in1 in
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
description to lan
no ip address
no ip address
ip address 192.168.xxx.xxx 255.255.255.0
no ip redirects
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
ip route 0.0.0.0 0.0.0.0 2xx.xxx.xxx.xxx
ip route 192.168.xxx.xxx 255.255.255.0 Tunnel101
ip route 192.168.xxx.xxx 255.255.255.128 Tunnel102
ip route 192.168.xxx.xxx 255.255.255.0 (внешний серый IP)
ip dns server
ip dns spoofing
ip flow-export source FastEthernet0/1/0
ip flow-export version 5 origin-as
ip flow-export destination 192.168.xxx.xxx (port)
ip flow-top-talkers
no ip http server
ip http authentication aaa
no ip http secure-server
ip nat inside source list NATUsers interface FastEthernet0/1 overload
ip nat inside source static tcp (внешний pop) 110 interface FastEthernet0/0 110
ip nat inside source static tcp (внешний smtp) 25 interface FastEthernet0/0 25
ip nat inside source static tcp 192.168.xxx.xxx 3389 interface FastEthernet0/0 3389
ip nat inside source static tcp 192.168.xxx.xxx 5222 interface FastEthernet0/1 5222
ip access-list extended NATUsers
deny   ip 192.168.xxx.0 0.0.0.255 10.0.0.0 0.255.255.255
deny   ip 192.168.xxx.0 0.0.0.255 172.16.0.0 0.15.255.255
deny   ip host 192.168.xxx.0 192.168.0.0 0.0.255.255
permit ip 192.168.xxx.0 0.0.0.255 any
permit ip 192.168.xxx.0 0.0.0.255 any
ip access-list extended in1
deny   ip host 2xx.xxx.xxx.xxx any
deny   ip 0.0.0.0 1.255.255.255 any
deny   ip 2.0.0.0 0.255.255.255 any
deny   ip 5.0.0.0 0.255.255.255 any
deny   ip 14.0.0.0 0.255.255.255 any
deny   ip 23.0.0.0 0.255.255.255 any
deny   ip 27.0.0.0 0.255.255.255 any
deny   ip 31.0.0.0 0.255.255.255 any
deny   ip 36.0.0.0 1.255.255.255 any
deny   ip 39.0.0.0 0.255.255.255 any
deny   ip 42.0.0.0 0.255.255.255 any
deny   ip 46.0.0.0 0.255.255.255 any
deny   ip 49.0.0.0 0.255.255.255 any
deny   ip 50.0.0.0 0.255.255.255 any
deny   ip 100.0.0.0 3.255.255.255 any
deny   ip 104.0.0.0 7.255.255.255 any
deny   ip 112.0.0.0 1.255.255.255 any
deny   ip 127.0.0.0 0.255.255.255 any
deny   ip 169.254.0.0 0.0.255.255 any
deny   ip 172.16.0.0 0.15.255.255 any
deny   ip 173.0.0.0 0.255.255.255 any
deny   ip 174.0.0.0 1.255.255.255 any
deny   ip 176.0.0.0 7.255.255.255 any
deny   ip 184.0.0.0 1.255.255.255 any
deny   ip 192.0.2.0 0.0.0.255 any
deny   ip 197.0.0.0 0.255.255.255 any
deny   ip 198.18.0.0 0.1.255.255 any
deny   ip 224.0.0.0 31.255.255.255 any
deny   ip host 65.105.140.210 any
deny   ip host 62.105.149.114 any
deny   ip host 212.44.136.194 any
deny   ip host 212.119.216.134 any
deny   ip host 93.186.228.129 any
deny   ip host 93.186.228.130 any
deny   ip host 93.186.224.233 any
deny   ip host 93.186.224.234 any
deny   ip host 93.186.224.235 any
deny   ip host 93.186.224.236 any
deny   ip host 93.186.224.237 any
deny   ip host 93.186.224.238 any
deny   ip host 93.186.224.239 any
deny   ip host 93.186.225.6 any
deny   ip host 93.186.225.211 any
deny   ip host 93.186.225.212 any
deny   ip host 93.186.226.4 any
deny   ip host 93.186.226.5 any
deny   ip host 93.186.226.129 any
deny   ip host 93.186.226.130 any
deny   ip host 93.186.227.123 any
deny   ip host 93.186.227.124 any
deny   ip host 93.186.227.125 any
deny   ip host 93.186.227.126 any
deny   ip host 93.186.227.129 any
deny   ip host 93.186.227.130 any
deny   ip any any log
ip access-list extended in2
deny   ip host 2xx.xxx.xxx.xxx any
deny   ip 0.0.0.0 1.255.255.255 any
deny   ip 2.0.0.0 0.255.255.255 any
deny   ip 5.0.0.0 0.255.255.255 any
deny   ip 14.0.0.0 0.255.255.255 any
deny   ip 23.0.0.0 0.255.255.255 any
deny   ip 27.0.0.0 0.255.255.255 any
deny   ip 31.0.0.0 0.255.255.255 any
deny   ip 36.0.0.0 1.255.255.255 any
deny   ip 39.0.0.0 0.255.255.255 any
deny   ip 42.0.0.0 0.255.255.255 any
deny   ip 46.0.0.0 0.255.255.255 any
deny   ip 49.0.0.0 0.255.255.255 any
deny   ip 50.0.0.0 0.255.255.255 any
deny   ip 100.0.0.0 3.255.255.255 any
deny   ip 104.0.0.0 7.255.255.255 any
deny   ip 112.0.0.0 1.255.255.255 any
deny   ip 127.0.0.0 0.255.255.255 any
deny   ip 169.254.0.0 0.0.255.255 any
deny   ip 172.16.0.0 0.15.255.255 any
deny   ip 173.0.0.0 0.255.255.255 any
deny   ip 174.0.0.0 1.255.255.255 any
deny   ip 176.0.0.0 7.255.255.255 any
deny   ip 184.0.0.0 1.255.255.255 any
deny   ip 192.0.2.0 0.0.0.255 any
deny   ip 197.0.0.0 0.255.255.255 any
deny   ip 198.18.0.0 0.1.255.255 any
deny   ip 224.0.0.0 31.255.255.255 any
deny   ip any any log
ip access-list extended out1
deny   ip 42.0.0.0 0.255.255.255 any
deny   ip 0.0.0.0 1.255.255.255 any
deny   ip 2.0.0.0 0.255.255.255 any
deny   ip 5.0.0.0 0.255.255.255 any
deny   ip 10.0.0.0 0.255.255.255 any
deny   ip 14.0.0.0 0.255.255.255 any
deny   ip 23.0.0.0 0.255.255.255 any
deny   ip 27.0.0.0 0.255.255.255 any
deny   ip 31.0.0.0 0.255.255.255 any
deny   ip 36.0.0.0 1.255.255.255 any
deny   ip 39.0.0.0 0.255.255.255 any
deny   ip 46.0.0.0 0.255.255.255 any
deny   ip 49.0.0.0 0.255.255.255 any
deny   ip 50.0.0.0 0.255.255.255 any
deny   ip 100.0.0.0 3.255.255.255 any
deny   ip 104.0.0.0 7.255.255.255 any
deny   ip 112.0.0.0 1.255.255.255 any
deny   ip 127.0.0.0 0.255.255.255 any
deny   ip 169.254.0.0 0.0.255.255 any
deny   ip 172.16.0.0 0.15.255.255 any
deny   ip 173.0.0.0 0.255.255.255 any
deny   ip 174.0.0.0 1.255.255.255 any
deny   ip 176.0.0.0 7.255.255.255 any
deny   ip 184.0.0.0 1.255.255.255 any
deny   ip 192.0.2.0 0.0.0.255 any
deny   ip 197.0.0.0 0.255.255.255 any
deny   ip 198.18.0.0 0.1.255.255 any
deny   ip 223.0.0.0 0.255.255.255 any
deny   ip 224.0.0.0 31.255.255.255 any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
permit ip host 192.168.xxx.xxx any
ip access-list extended pochta
access-list 100 dynamic NETAMS
deny   ip any any
access-list 100 permit ip any any
match ip address 11
match ip address pochta

"Перенаправление портов извне"
Отправлено SeaWalker , 06-Апр-10 10:57

упс
два раза запостил
Модер, плз затри 1 комент

"Перенаправление портов извне"
Отправлено gagner , 06-Апр-10 17:15

А где inside?
interface FastEthernet0/0
ip nat outside
interface FastEthernet0/1
ip nat outside

ну и зачем выкладывать столько конфиг-шлака не по делу? 0.о

"Перенаправление портов извне"
Отправлено SeaWalker , 07-Апр-10 07:16

>А где inside?
interface FastEthernet0/1/0
description to lan
switchport trunk native vlan 200
switchport mode trunk
это внешние интерфейсы как я и говорил ранее
>interface FastEthernet0/0
>ip nat outside
>
>interface FastEthernet0/1
>ip nat outside
>
>
>ну и зачем выкладывать столько конфиг-шлака не по делу? 0.о
что попросили то и выложил :(
тем не менее вариантs не работают:
ни
ip nat inside source static tcp (внешний pop) 110 interface FastEthernet0/0 110
ни
ip nat outside source static tcp (внешний pop) 110 interface FastEthernet0/0 110
ни
ip nat outside source static tcp 192.168.xxx.xxx 110 (внешний pop) 110

"Перенаправление портов извне"
Отправлено gagner , 07-Апр-10 11:41

изначально вы описывали свою задачу как "пропустить трафик из одного внешнего в другой внешний". Т.о. тот интерфейс, в который он входит f0/0 должен быть инсайдом, а f0/1 - аутсайдом, т.к. трафик из него выходит. Ваш лановский интерфейс не имеет отношения к данной задаче.

"Перенаправление портов извне"
Отправлено SeaWalker , 07-Апр-10 12:38

>изначально вы описывали свою задачу как "пропустить трафик из одного внешнего в
>другой внешний". Т.о. тот интерфейс, в который он входит f0/0 должен
>быть инсайдом, а f0/1 - аутсайдом, т.к. трафик из него выходит.
>Ваш лановский интерфейс не имеет отношения к данной задаче.
вполне возможно что задачу поставил некоректно

"Перенаправление портов извне"
Отправлено gagner , 07-Апр-10 14:57

>вполне возможно что задачу поставил некоректно
приведенный вами конфиг ввергает меня в панику. в нем тупо нет таких слов как "interface FastEthernet0/1/0", например, ммм? ))
Абстрагируйтесь... что вы хотите получить? Что бы ваш хост из локальной(?) сети стучался по локальному адресу и попадал на внешний рор? Или что бы извне стучались?

"Перенаправление портов извне"
Отправлено SeaWalker , 07-Апр-10 15:32

>>вполне возможно что задачу поставил некоректно
>
>приведенный вами конфиг ввергает меня в панику. в нем тупо нет таких
>слов как "interface FastEthernet0/1/0", например, ммм? ))
interface FastEthernet0/1/0
description to lan
switchport trunk native vlan 200
switchport mode trunk
>
>Абстрагируйтесь... что вы хотите получить? Что бы ваш хост из локальной(?) сети
>стучался по локальному адресу и попадал на внешний рор? Или что
>бы извне стучались?
interface FastEthernet0/1/0
description to lan
switchport trunk native vlan 200
switchport mode trunk
чтобы пакет на порт 25 или 110, пришедший с другой циски из серой подсети на внешний интерфейс данной циски (fa 0/0 192.168.xxx.xxx),был переброшен на другой интерфейс данной циски (fa0/1 2xx.xxx.xxx.xxx) и ушел на внешний поп или смтп

"Перенаправление портов извне"
Отправлено Gbyte , 07-Апр-10 15:39

>чтобы пакет на порт 25 или 110, пришедший с другой циски из
>серой подсети на внешний интерфейс данной циски (fa 0/0 192.168.xxx.xxx),был переброшен
>на другой интерфейс данной циски (fa0/1 2xx.xxx.xxx.xxx) и ушел на внешний
>поп или смтп
простой маршрутизации не достаточно???

"Перенаправление портов извне"
Отправлено gagner , 07-Апр-10 16:07

если ваша серая сеть знает про то, что за f0/1 есть публичная - то все еще проще.
опять же
inf fa0/0
ip nat ins
int f0/1
ip nat out
и ip nat ins source list [ACL кому можно] int fa0/1.

а вообще - курите cisco.com, так об этом много пишут...

"Перенаправление портов извне"
Отправлено Gbyte , 07-Апр-10 16:09

>[оверквотинг удален]
>опять же
>inf fa0/0
>ip nat ins
>int f0/1
>ip nat out
>
>и ip nat ins source list [ACL кому можно] int fa0/1.
>
>
>а вообще - курите cisco.com, так об этом много пишут...
сети inside/outside не перепутал??

"Перенаправление портов извне"
Отправлено gagner , 07-Апр-10 16:12

>>а вообще - курите cisco.com, так об этом много пишут...
>
>сети inside/outside не перепутал??
так вроде товарищ пишет:
>чтобы пакет на порт 25 или 110, пришедший с другой циски из
>серой подсети на внешний интерфейс данной циски (fa 0/0 192.168.xxx.xxx),был переброшен
>на другой интерфейс данной циски (fa0/1 2xx.xxx.xxx.xxx) и ушел на внешний
>поп или смтп
ммм?

"Перенаправление портов извне"
Отправлено Gbyte , 07-Апр-10 16:14

>[оверквотинг удален]
>>сети inside/outside не перепутал??
>
>так вроде товарищ пишет:
>
>>чтобы пакет на порт 25 или 110, пришедший с другой циски из
>>серой подсети на внешний интерфейс данной циски (fa 0/0 192.168.xxx.xxx),был переброшен
>>на другой интерфейс данной циски (fa0/1 2xx.xxx.xxx.xxx) и ушел на внешний
>>поп или смтп
>
>ммм?
и перед этим:
interface FastEthernet0/1/0
description to lan
switchport trunk native vlan 200
switchport mode trunk

запутывает он нас ;)

"Перенаправление портов извне"
Отправлено gagner , 07-Апр-10 16:18

>и перед этим:
>interface FastEthernet0/1/0
>description to lan
>switchport trunk native vlan 200
>switchport mode trunk
>
>
>запутывает он нас ;)
)) мне кажется, что он inside/outside воспринимает по-честному: не с точки зрения ната, а с точки зрения своих/чужих сетей... 0.о хотя могу быть не права.

"Перенаправление портов извне"
Отправлено gagner , 07-Апр-10 15:40

>чтобы пакет на порт 25 или 110, пришедший с другой циски из
>серой подсети на внешний интерфейс данной циски (fa 0/0 192.168.xxx.xxx),был переброшен
>на другой интерфейс данной циски (fa0/1 2xx.xxx.xxx.xxx) и ушел на внешний
>поп или смтп
о! стандартный dest nat.
inf fa0/0
ip nat ins
int f0/1
ip nat out
все лишние пометки "ip nat" с других интерфейсов уберите - от греха подальше.
ip nat outside source static [GLOBAL IP] [LOCAL IP], т.е.
ip nat outside source static tcp внешний pop 110 192.168.xxx.xxx 110
Я люблю, что бы 192.168.xxx.xxx не совпадало с адресом интерфейса, а было левым виртуальным адресом из локальной сетки. Имхо, оно так краше.

"Перенаправление портов извне"
Отправлено SeaWalker , 07-Апр-10 16:18

>[оверквотинг удален]
>ip nat out
>
>все лишние пометки "ip nat" с других интерфейсов уберите - от греха
>подальше.
>
>ip nat outside source static [GLOBAL IP] [LOCAL IP], т.е.
>ip nat outside source static tcp внешний pop 110 192.168.xxx.xxx 110
>
>Я люблю, что бы 192.168.xxx.xxx не совпадало с адресом интерфейса, а было
>левым виртуальным адресом из локальной сетки. Имхо, оно так краше.
и сразу и одной сети в другую сеть цепляться перестали

"Перенаправление портов извне"
Отправлено gagner , 07-Апр-10 16:21

что значит "перестали цепляться"? из каких сетей? что сказали циске? что она вам ответила?
мне кажется, что я разговариваю с пользователем, а не с одмином: паника, паника, ничего не работает... а что не работает - не понятно. )))
мы как бэ это... должны отличаться от гуманитариев и экономистов более системным подходом.

"Перенаправление портов извне"
Отправлено SeaWalker , 07-Апр-10 16:59

>что значит "перестали цепляться"? из каких сетей? что сказали циске? что она
>вам ответила?
>
>мне кажется, что я разговариваю с пользователем, а не с одмином: паника,
>паника, ничего не работает... а что не работает - не понятно.
>)))
>мы как бэ это... должны отличаться от гуманитариев и экономистов более системным
>подходом.
ну не паника :)
убираю с серого внешнего (fa0/0 192.168.168.1) строку ip nat outside(ставлю inside) - пропадает терминалное соединение со складом
убираю inside с Vlan200 - весь офис курит без инета

"Перенаправление портов извне"
Отправлено gagner , 07-Апр-10 17:07

>ну не паника :)
>убираю с серого внешнего (fa0/0 192.168.168.1) строку ip nat outside(ставлю inside) -
>пропадает терминалное соединение со складом
>убираю inside с Vlan200 - весь офис курит без инета
А это потому что у вас уже был нат, а я невнимательно курила ваш шлак-конфиг.
http://www.anticisco.ru/blogs/?p=23 - вот тут вот неплохая статья, как решить вашу проблему. всегда помните, что нат отрабатывает только при прохождении между двумя правильно помеченными интерфейсами.

"Перенаправление портов извне"
Отправлено SeaWalker , 07-Апр-10 18:04

>http://www.anticisco.ru/blogs/?p=23 - вот тут вот неплохая статья, как решить вашу проблему.
>всегда помните, что нат отрабатывает только при прохождении между двумя правильно
>помеченными интерфейсами.
нипамагло

"Перенаправление портов извне"
Отправлено gagner , 07-Апр-10 18:29

очень жаль.

"Перенаправление портов извне"
Отправлено GByte , 07-Апр-10 19:17

>
> нипамагло
Блин!!!!
Ну сколько раз тебе говорить - ИЗОБРАЗИ СХЕМУ СЕТИ!!!
Нет, конечно если не хочешь чтобы тебе помогали, не нужно...

"Перенаправление портов извне"
Отправлено SeaWalker , 08-Апр-10 07:36

>
>>
>> нипамагло
>
>Блин!!!!
>
>Ну сколько раз тебе говорить - ИЗОБРАЗИ СХЕМУ СЕТИ!!!
>
>Нет, конечно если не хочешь чтобы тебе помогали, не нужно...
http://www.sharemania.ru/0258336
вот схема