The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Прокинуть порт. Опять."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Прокинуть порт. Опять."  +/
Сообщение от Ricos (??) on 12-Ноя-09, 19:06 
Привет! Есть следущая задача: есть cisco 2811, инет получает по e1.
На интерфейсе FastEthernet0/0 сидит локалка с инетом. Необходимо к интерфейсу
FastEthernet0/1 подвесить комп с адресом, к примеру 192.168.227.1 и прокинуть на
него порт 13000 с интернета, но что бы больше доступа с компа никуда не было.
На компе будет стоять прога, которая будет принимать данные с GPS приемника, который
с объека по GPRS передает данные о своем местонахождении на наш чистый IP на порт 13000.
Нада что бы прога на компе 192.168.227.1 эти данные принимала. Как прокинуть порт?
И как закрыть доступ к всему остальному. Надеюсь подробно все объяснил, сорри за ламеризм, но решение нада найти быстро. Заранее спасибо.

Конфиг:

!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname aaaaa
!
boot-start-marker
boot system flash c2800nm-ipbase-mz.123-14.T4.bin
boot-end-marker
!
card type e1 0 1
enable secret bbbbbbbbbbbb
enable password ccccccccccc
!
no aaa new-model
!
resource policy
!
no network-clock-participate wic 1
ip subnet-zero
!
ip cef
no ip dhcp use vrf connected
!
no ftp-server write-enable
!
controller E1 0/1/0
channel-group 0 timeslots 1-2
description E1 Uplink
!
interface FastEthernet0/0
description LAN1 Link
ip address 192.168.228.1 255.255.255.0
ip nat inside
duplex half
speed auto
no mop enabled
!
interface FastEthernet0/1
description LAN2 Link
ip address 192.168.227.1 255.255.255.0
duplex half
speed auto
no mop enabled
!
interface Serial0/0/0
ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
ip nat outside
!
ip classless
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx
!
no ip http server
ip nat pool int_pool 192.168.228.0 192.168.228.255 netmask 255.255.255.0
!
access-list 1 permit 192.168.228.0 0.0.0.255
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password xxxxxxxxxxxxx
login
line vty 5 321
login
line vty 322 326
password xxxxxxxxxxxxx
login
!
scheduler allocate 20000 1000
!
end

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Прокинуть порт. Опять."  +/
Сообщение от Stell email(??) on 12-Ноя-09, 20:55 
>Необходимо к интерфейсу
>FastEthernet0/1 подвесить комп с адресом, к примеру 192.168.227.1 и прокинуть на
>него порт 13000 с интернета, но что бы больше доступа с компа никуда не было.
>interface FastEthernet0/1
>description LAN2 Link
>ip address 192.168.227.1 255.255.255.0
>duplex half
>speed auto
>no mop enabled

Вы уж определитесь: 192.168.227.1 - это адрес компьютера или интерфейса на роутере?
Допустим, все-таки что адрес компа будет 192.168.227.2
interface FastEthernet0/1
  ip nat inside

ip nat inside source static udp 192.168.227.2 13000 <public_ip> 13000 extendable


Вешаете на fa0/1 акцесс-листы и разрешаете/запрещаете все что угодно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Прокинуть порт. Опять."  +/
Сообщение от Ricos (??) on 12-Ноя-09, 22:04 
Спасибо за ответ.

>Вы уж определитесь: 192.168.227.1 - это адрес компьютера или интерфейса на роутере?

192.168.227.1 - внутр. адр. 2-го F/e роутера.
192.168.227.2 - ip компа

>Вешаете на fa0/1 акцесс-листы и разрешаете/запрещаете все что угодно.

Как запретить все кроме этого порта? Откуда будут приходить даннные я не знаю, знаю только на какой порт. Соответственно куда она прога отправлять будет не знаю тоже, знаю только порт 13000. Инета на компе быть не должно. Я не смогу сам такой акцест лист составить. Ну тупень я :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Прокинуть порт. Опять."  +/
Сообщение от Stell email(??) on 12-Ноя-09, 22:24 
Порт 13000 TCP или UDP (хотя я полагаю что UDP)?
Компьютер что-то должен отправлять наружу в ответ? Если не нужно, то можно так:

ip access list extended fa01_out
  permit udp any host 192.168.227.2 eq 13000
ip access list extended fa01_in
  deny ip any any

int fa0/1
  ip access-group fa01_out out
  ip access-group fa01_in in

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Прокинуть порт. Опять."  +/
Сообщение от Ricos (ok) on 12-Ноя-09, 22:51 
>Порт 13000 TCP или UDP (хотя я полагаю что UDP)?
>Компьютер что-то должен отправлять наружу в ответ?

Чесно, не знаю. Все что знаю это (цитата) "Таким образом терминал будет передавать данные на Сервер с IP-адресом xxx.xxx.xxx.xxx по порту 12300. А клиентская часть (программа мониторинга) будет получать данные с Сервера по порту 12300." Наверное UDP, и прога судя по всему ничего пулять не будет в ответ.

А вот тут:
>ip access list extended fa01_out
>  permit udp any host 192.168.227.2 eq 13000
>ip access list extended fa01_in
>  deny ip any any
>int fa0/1
>  ip access-group fa01_out out
>  ip access-group fa01_in in

in c out не перепутаны случаем? Или я запутался?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Прокинуть порт. Опять."  +/
Сообщение от Ricos (ok) on 13-Ноя-09, 00:07 
Пока сделал так:
тыц

controller E1 0/1/0
channel-group 0 timeslots 1-2
description e1
!
interface FastEthernet0/0
description lan1 Link
ip address 192.168.228.1 255.255.255.0
ip nat inside
duplex half
speed auto
no mop enabled
!
interface FastEthernet0/1
ip address 192.168.227.1 255.255.255.0
ip access-group fa01_in in
ip access-group fa01_out out
ip nat inside
duplex full
speed auto
no mop enabled
!
interface Serial0/0/0
ip address xxx.xxx.xxx.xxx 255.255.255.252
ip nat outside
!
ip classless
ip route 0.0.0.0 0.0.0.0 yyy.yyy.yyy.yyyy
!
no ip http server
ip nat pool _pool 192.168.228.0 192.168.228.255 netmask 255.255.255.0
ip nat inside source list 1 interface Serial0/0/0 overload
ip nat inside source static udp 192.168.227.2 12300 xxx.xxx.xxx.xxx 12300 extendable
!
ip access-list extended fa01_in
deny   ip any any
ip access-list extended fa01_out
permit udp any host 192.168.227.2 eq 12300
!
access-list 1 permit 192.168.228.0 0.0.0.255
dialer-list 1 protocol ip permit
!
control-plane
!
тыц
Завтра посмотрим заработает ли.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру