Новые ответы

В статическом нате проиходит публикация адреса на внешнем интерфейсе,

sui245, 16-Дек-05, 17:36 [смотреть все]

Уважаемые Господа
Есть cisco2811
При вводе вот такой строки
ip nat inside sourse static 10.0.0.201 172.14.244.4
Помимо того что происходит подмена адреса источника пакетов отправляемых из внетренней сети наружу так ещё и любой хост снаружи получает доступ к внутренней машине 10.0.0.201, как от этого избавиться, т.е. сохранить возможность натинга из внутренней сетки наружу, но убрать возможность соединения произвольной машины интернета с внутренней машиной.
Что делать??????????????
З.Ы. Добавление ключа no-alias не спасает положения, простой правкой arp таблицы внешнего хоста это легко обходиться.

Ответить | Сообщить модератору

В статическом нате проиходит публикация адреса на внешнем ин..., sh_, 18:22 , 16-Дек-05 (1)

В статическом нате проиходит публикация адреса на внешнем ин..., sui245, 19:09 , 16-Дек-05 (2)
>ip nat poo Fuck 172.14.244.4 172.14.244.4 pref 24
>ip nat ins so li 1 poo Fuck over
>access-l 10 perm ho 10.0.0.201
Увы но не помогло, если у машины 10.0.0.201 открыта сесия с любым хостом из внешней сети по любому протоколу то она становиться видна для всех внешних машин, а это не правильно по моему, единственный плюс это то что из таблицы натинга соответствие убивается почти сразу после завершения сеанса.
На мой взгляд такая защита внутренних хостов от внешних атак нафиг не нужна, или я не прав.
Ответить | Сообщить модератору

В статическом нате проиходит публикация адреса на внешнем ин..., sh_, 09:55 , 17-Дек-05 (3)

В статическом нате проиходит публикация адреса на внешнем ин..., sui245, 12:28 , 19-Дек-05 (4)
>Ну поменяйте access-l 10 perm ho 10.0.0.201 на
>access-l 10 perm 10.0.0.200 0.0.0.252
Ну поменяю, а что это даст, какая разница хосту разрешено или хостам, не всё ли равно? Проблему то всё равно не уберёт.
Ответить | Сообщить модератору

В статическом нате проиходит публикация адреса на внешнем ин..., Изгой, 13:54 , 19-Дек-05 (5)

В статическом нате проиходит публикация адреса на внешнем ин..., Изгой, 13:55 , 19-Дек-05 (6)

В статическом нате проиходит публикация адреса на внешнем ин..., sui245, 17:01 , 19-Дек-05 (8)
Большое спасибо Изгой, всё заработало, жаль только что established работает только с tcp сессиями, но всё равно большое спасибо. Лучше чем совсем ничего.

Ответить | Сообщить модератору

В статическом нате проиходит публикация адреса на внешнем ин..., sui245, 14:30 , 19-Дек-05 (7)
>>>Ну поменяйте access-l 10 perm ho 10.0.0.201 на
>>>access-l 10 perm 10.0.0.200 0.0.0.252
>>
>>Ну поменяю, а что это даст, какая разница хосту разрешено или хостам,
>>не всё ли равно? Проблему то всё равно не уберёт.
>
>
>Ну пропишите на внешнем интерфейсе acl tcp established на этот
>адресс.
А по подробнее о "Ну пропишите на внешнем интерфейсе acl tcp established на этот
адресс."

Так как заранее не известно с какими хостами захочет общаться внутрений
хост ACL не подойдёт.
Ответить | Сообщить модератору

В статическом нате проиходит публикация адреса на внешнем ин..., Изгой, 09:02 , 20-Дек-05 (9)

В статическом нате проиходит публикация адреса на внешнем ин..., Изгой, 09:31 , 21-Дек-05 (10)