URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18942
[ Назад ]
Исходное сообщение
"Cisco и перенаправление портов"
Отправлено sme08 , 26-Май-09 09:18 
Здравствуйте!
Есть cisco 1841 (IOS Version 12.4(16))
Можно ли на ней настроить перенаправление портов таким образом:

Внутренняя сеть--------|FE0/0|Cisco1841|FE0/1|--------Внешняя сеть
        
FE0/0 - IP=192.168.1.1/24
FE0/1 - IP=192.168.2.1/24

Нужно, чтобы пакет с dst_address:dst_port 192.168.1.1:3000 из внутренней сети перенаправлялся на
dst_address:dst_port 192.168.2.x:22
То есть с внутреннего интерфейса на один из хостов внешней сети.
Смотрел ip nat и route-map, но с их помощью похоже этого сделать нельзя...
В цисках новичок, возможно, что-то упустил, подскажите, пожалуйста. Вроде достаточно простая и распространенная задача, а решения не могу найти.

Содержание
Сообщения в этом обсуждении
"Cisco и перенаправление портов"
Отправлено ayupakhomov , 26-Май-09 10:19 

ip nat outside source static tcp 192... 3000 192... 22 extendable
если протокол tcp
ну или udp если надо

"Cisco и перенаправление портов"
Отправлено ayupakhomov , 26-Май-09 10:21 
>
>
>ip nat outside source static tcp 192... 3000 192... 22 extendable
>если протокол tcp
>ну или udp если надо

а вообще-то,если вы с фтп-шником мучаетесь, используйте пассивный режим. Там не нужен проброс 22 порта наружу. И проблема отпадет :)

"Cisco и перенаправление портов"
Отправлено sme08 , 27-Май-09 06:56 
>>
>>
>>ip nat outside source static tcp 192... 3000 192... 22 extendable
>>если протокол tcp
>>ну или udp если надо
>
>а вообще-то,если вы с фтп-шником мучаетесь, используйте пассивный режим. Там не нужен
>проброс 22 порта наружу. И проблема отпадет :)

Спасибо.
Но что-то не получается... Мне в перспективе надо пробросить так несколько портов, поэтому все равно это сделать придется.

Я пока эксперементировал сменил ip-шники и порт с 22 на 222. Но суть та же:

cisco-1841#ip nat outside source static tcp 192.168.21.3 3000 192.168.10.8 222
192.168.21.3 - ip address FE0/0 (inside interface)
192.168.10.8 - ip address хоста во внешней сети, расположенной за FE0/1(outside interface)

Мне надо, чтобы я на своей машине, находящейся в сети inside, сделав
telnet 192.168.21.3 3000  попадал на 192.168.10.8 222 (там на этом порту висит ssh)

Включил debug ip nat, но в логах на это нет совпадений, правило не срабатывает.

Экспериментально выяснил,  что оно срабатывает на

telnet 192.168.10.8 222

В логах записи:

000028: *May 27 09:36:12.360 PCTime: NAT: TCP s=1228, d=222->3000
000029: *May 27 09:36:12.360 PCTime: NAT: s=192.168.21.2, d=192.168.10.8->192.16
8.21.3 [3645]
000030: *May 27 09:36:12.360 PCTime: NAT: TCP s=3000->222, d=1228
000031: *May 27 09:36:12.360 PCTime: NAT: s=192.168.21.3->192.168.10.8, d=192.16
8.21.2 [44402]
000032: *May 27 09:36:12.820 PCTime: NAT: TCP s=1228, d=222->3000
000033: *May 27 09:36:12.820 PCTime: NAT: s=192.168.21.2, d=192.168.10.8->192.16
8.21.3 [3646]
000034: *May 27 09:36:12.820 PCTime: NAT: TCP s=3000->222, d=1228
000035: *May 27 09:36:12.820 PCTime: NAT: s=192.168.21.3->192.168.10.8, d=192.16
8.21.2 [27212]
000036: *May 27 09:36:13.476 PCTime: NAT: TCP s=1228, d=222->3000
000037: *May 27 09:36:13.476 PCTime: NAT: s=192.168.21.2, d=192.168.10.8->192.16
8.21.3 [3647]
000038: *May 27 09:36:13.476 PCTime: NAT: TCP s=3000->222, d=1228
000039: *May 27 09:36:13.476 PCTime: NAT: s=192.168.21.3->192.168.10.8, d=192.16
8.21.2 [24417]

192.168.21.2 - это моя машина, с которой я запускаю telnet

Трансляции выглядят так:
cisco-1841#sh ip nat tr
Pro Inside global      Inside local       Outside local      Outside global
tcp ---                ---                192.168.10.8:222   192.168.21.3:3000

Вчера целый день голову ломал, не могу осилить логику, как все-таки правильно написать :(
Может нужно несколько правил?

"Cisco и перенаправление портов"
Отправлено sme08 , 27-Май-09 14:17 
Сделал все-таки.
Поменял местами интерфейсы - inside и outside и настроил все как проброс порта снаружи вовнутрь с помощью ip nat inside source (это циска точно умеет).
Как наоборот настраивается, так и не понял.
"Cisco и перенаправление портов"
Отправлено GolDi , 27-Май-09 15:08 
>[оверквотинг удален]
>cisco-1841#ip nat outside source static tcp 192.168.21.3 3000 192.168.10.8 222
>192.168.21.3 - ip address FE0/0 (inside interface)
>192.168.10.8 - ip address хоста во внешней сети, расположенной за FE0/1(outside interface)
>
>
>Мне надо, чтобы я на своей машине, находящейся в сети inside, сделав
>
>telnet 192.168.21.3 3000  попадал на 192.168.10.8 222 (там на этом порту
>висит ssh)
>

  а при чём здесь NAT, если telnet-ом вы идёте на внутренний адрес?

>[оверквотинг удален]
>    Outside local      
>Outside global
>tcp ---          
>     ---      
>          192.168.10.8:222
>  192.168.21.3:3000
>
>Вчера целый день голову ломал, не могу осилить логику, как все-таки правильно
>написать :(
>Может нужно несколько правил?

"Cisco и перенаправление портов"
Отправлено sme08 , 28-Май-09 06:53 
>  а при чём здесь NAT, если telnet-ом вы идёте на
>внутренний адрес?
>

Ну мне как бы и надо, чтобы циска с внутреннего адреса перенаправляла трафик на определенный внешний.

То же самое, только из внешней сети во внутреннюю циска делает с помощью ip nat inside, вроде симметрично в обратную сторону должна делать с помощью ip nat outside.

Вот именно с ip nat inside все работает именно так: я телнетом иду на один адрес, а попадаю на другой. В обратную сторону - почему-то совсем не то.

"Cisco и перенаправление портов"
Отправлено axa_iwt , 16-Авг-11 11:36 
> Вот именно с ip nat inside все работает именно так: я телнетом
> иду на один адрес, а попадаю на другой. В обратную сторону
> - почему-то совсем не то.

не мог бы ты выложить конфиг, просто я тоже столкнулся с такой проблемой, у меня не получается чтоб внешний хост при подключении к внешнему адресу Х.Х.Х.Х:3163 перенаправлялся на внутренний Y.Y.Y.Y:3163