URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17202
[ Назад ]

Исходное сообщение
"проблема с PAT/NAT"
Отправлено Mishunja , 19-Сен-08 19:34

Привет всем!
Во столкнулся с такой проблемой. Хочу сделать доступ к линуксовой машине из инета по ssh, но чтобы не светить 22 порт, использую маскирование на порт 47093. Пишу на циске:
interface FastEthernet0/0.999
ip vrf forwarding inet
ip address 1.1.1.26 255.255.255.252
ip nat outside
interface FastEthernet4/0.998
ip vrf forwarding inet
ip address 192.168.198.1 255.255.255.248
ip nat inside
ip nat inside source list 80 interface FastEthernet0/0.999 vrf inet overload
ip nat inside source static tcp 192.168.198.2 22 interface FastEthernet0/0.999 47093
access-list 80 remark Cisco_Nat_Overload
access-list 80 permit 192.168.198.0 0.0.0.7
С линуксовой машины доступ в инет есть, но коннект на 1.1.1.26 порт 47093 ни фига не проходит. Смотрю пакетики сниферром. Оказывается запросы на линуксовыю машину приходят и отклики на клиента отправляются, но вот до клиента они не доходят :((
Нат на циске показывает вот что:
Router#sh ip nat translations vrf inet
Pro Inside global Inside local Outside local Outside global
tcp 1.1.1.26:22 192.168.198.2:22 217.107.46.10:1333 217.107.46.10:1333
Почему-то в Inside global стоит порт 22, а должен быть 47093!! Тогда понятно, почему не доходят ответы от ssh сервера. Ответы идут с порта 22, а не 47093, с которым устанавливалось соединение, и pix перед клиентом с этими пакетами безжалостно расправляется.
Если же прописываю нат без маскардинга:
ip nat inside source static tcp 192.168.198.2 22 interface FastEthernet0/0.999 22
то ssh работает на ура, но выставлять на показ 22 порт не хочется.
Все это не работает на Cisco 3745 с IOS c3745-adventerprisek9-mz.123-26
Посоветуйте, что делать? Может кто проверит на другом IOS?

Содержание

проблема с PAT/NAT,Mishunja, 22:37 , 20-Сен-08

Сообщения в этом обсуждении

"проблема с PAT/NAT"
Отправлено Mishunja , 20-Сен-08 22:37

заработало вот так:
ip nat inside source static tcp 192.168.198.2 22 1.1.1.26 47093 vrf inet
судя по всему проблемы были из-за vrf, потому что при указании интерфейса нельзя указать vrf и при коннекте в обычной таблице тоже появляются nat записи:
Router#sh ip nat tr | in 1.1.1.26
tcp 1.1.1.26:47093 192.168.198.2:22 ---                ---
tcp 1.1.1.26:1073 192.168.198.2:22  77.51.185.160:1780 77.51.185.160:1780
tcp 1.1.1.26:1074 192.168.198.2:22  77.51.185.160:1780 77.51.185.160:1780
tcp 1.1.1.26:1075 192.168.198.2:22  77.51.185.160:1780 77.51.185.160:1780
tcp 1.1.1.26:22  192.168.198.2:22   77.51.185.160:1780 77.51.185.160:1780
Router#sh ip nat tr vrf inet
Pro Inside global      Inside local       Outside local      Outside global
tcp 1.1.1.26:22  192.168.198.2:22   77.51.185.160:1780 77.51.185.160:1780