В статическом нате проиходит публикация адреса на внешнем интерфейсе, sui245, 16-Дек-05, 17:36 [смотреть все]Уважаемые Господа Есть cisco2811 При вводе вот такой строки ip nat inside sourse static 10.0.0.201 172.14.244.4 Помимо того что происходит подмена адреса источника пакетов отправляемых из внетренней сети наружу так ещё и любой хост снаружи получает доступ к внутренней машине 10.0.0.201, как от этого избавиться, т.е. сохранить возможность натинга из внутренней сетки наружу, но убрать возможность соединения произвольной машины интернета с внутренней машиной. Что делать??????????????З.Ы. Добавление ключа no-alias не спасает положения, простой правкой arp таблицы внешнего хоста это легко обходиться.
|
- В статическом нате проиходит публикация адреса на внешнем ин..., sh_, 18:22 , 16-Дек-05 (1)
- В статическом нате проиходит публикация адреса на внешнем ин..., sui245, 19:09 , 16-Дек-05 (2)
>ip nat poo Fuck 172.14.244.4 172.14.244.4 pref 24 >ip nat ins so li 1 poo Fuck over >access-l 10 perm ho 10.0.0.201Увы но не помогло, если у машины 10.0.0.201 открыта сесия с любым хостом из внешней сети по любому протоколу то она становиться видна для всех внешних машин, а это не правильно по моему, единственный плюс это то что из таблицы натинга соответствие убивается почти сразу после завершения сеанса. На мой взгляд такая защита внутренних хостов от внешних атак нафиг не нужна, или я не прав.
- В статическом нате проиходит публикация адреса на внешнем ин..., sh_, 09:55 , 17-Дек-05 (3)
- В статическом нате проиходит публикация адреса на внешнем ин..., sui245, 12:28 , 19-Дек-05 (4)
>Ну поменяйте access-l 10 perm ho 10.0.0.201 на >access-l 10 perm 10.0.0.200 0.0.0.252 Ну поменяю, а что это даст, какая разница хосту разрешено или хостам, не всё ли равно? Проблему то всё равно не уберёт.
- В статическом нате проиходит публикация адреса на внешнем ин..., Изгой, 13:54 , 19-Дек-05 (5)
- В статическом нате проиходит публикация адреса на внешнем ин..., Изгой, 13:55 , 19-Дек-05 (6)
- В статическом нате проиходит публикация адреса на внешнем ин..., sui245, 14:30 , 19-Дек-05 (7)
>>>Ну поменяйте access-l 10 perm ho 10.0.0.201 на >>>access-l 10 perm 10.0.0.200 0.0.0.252 >> >>Ну поменяю, а что это даст, какая разница хосту разрешено или хостам, >>не всё ли равно? Проблему то всё равно не уберёт. > > >Ну пропишите на внешнем интерфейсе acl tcp established на этот >адресс. А по подробнее о "Ну пропишите на внешнем интерфейсе acl tcp established на этот адресс." Так как заранее не известно с какими хостами захочет общаться внутрений хост ACL не подойдёт.
|