URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20809
[ Назад ]

Исходное сообщение
"cisco 871 перенаправление портов "
Отправлено omiron , 04-Апр-10 00:36

Помогите пожалуйста в изучении cisco nat. Какой день уже бьюсь ничего не выходит.
Имеется cisco 871 и 2 сети
1 сеть - 192.168.0.0/24 в ней cisco выходит через интерфейс F4
2 сеть - 10.0.10.0/24 уже за cisco vlan 1
В сети 10.0.10.0 имеется машина с запущеным на ней веб сервером по 81 порту, её ip 10.0.10.2
Надо получить доступ из сети 192.168.0.0/24 на 81 порт машины 10.0.10.2
Конфиг циски:
Current configuration : 1489 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname c871
!
boot-start-marker
boot-end-marker
!
aaa new-model
!
aaa session-id common
ip cef
!
multilink bundle-name authenticated
!
interface Loopback1
ip address 10.0.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address 192.168.0.110 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 10.0.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 192.168.0.1
!
no ip http server
no ip http secure-server
ip nat inside source static tcp 10.0.10.2 81 192.168.0.110 81 extendable
!
Пытаюсь стучаться со 192.168.0.1 на 192.168.0.110 по порту 81 соединение не проходит.
######
лог nmap
nmap 192.168.0.110
Starting Nmap 4.76 ( http://nmap.org ) at 2010-04-04 00:26 MSD
Interesting ports on 192.168.0.110:
Not shown: 997 closed ports
PORT   STATE    SERVICE
22/tcp open     ssh
23/tcp open     telnet
81/tcp filtered hosts2-ns
MAC Address: 00:1C:B1:EF:94:21 (Cisco Systems)
#####
telnet 192.168.0.110 81
Trying 192.168.0.110...

c871#sh ip nat translations
Pro Inside global         Inside local          Outside local         Outside global
tcp 192.168.0.110:81      10.0.10.2:81          192.168.0.1:57860     192.168.0.1:57860
tcp 192.168.0.110:81      10.0.10.2:81          ---                   ---

Содержание

cisco 871 перенаправление портов ,shadow_alone, 02:30 , 04-Апр-10
- cisco 871 перенаправление портов ,Gbyte, 10:27 , 04-Апр-10
  - cisco 871 перенаправление портов ,omiron, 11:47 , 04-Апр-10
- cisco 871 перенаправление портов ,omiron, 11:45 , 04-Апр-10
  - cisco 871 перенаправление портов ,ShyLion, 08:02 , 05-Апр-10
    - cisco 871 перенаправление портов ,omiron, 08:41 , 05-Апр-10
      - cisco 871 перенаправление портов ,ShyLion, 13:04 , 05-Апр-10
        
        cisco 871 перенаправление портов ,omiron, 16:10 , 05-Апр-10
        
        cisco 871 перенаправление портов ,ShyLion, 16:13 , 05-Апр-10
        
        cisco 871 перенаправление портов ,omiron, 17:28 , 05-Апр-10
        
        cisco 871 перенаправление портов ,ShyLion, 08:28 , 06-Апр-10
        
        cisco 871 перенаправление портов ,omiron, 18:04 , 05-Апр-10

Сообщения в этом обсуждении

"cisco 871 перенаправление портов "
Отправлено shadow_alone , 04-Апр-10 02:30

на машине 10.0.10.2 шлюзом стоит 10.0.10.1?
ACL для NAT покажите?

"cisco 871 перенаправление портов "
Отправлено Gbyte , 04-Апр-10 10:27

>на машине 10.0.10.2 шлюзом стоит 10.0.10.1?
>
>ACL для NAT покажите?
1. Для чего вам вилан1
2. на какой он фиизический интерфейс приходит?

"cisco 871 перенаправление портов "
Отправлено omiron , 04-Апр-10 11:47

>>на машине 10.0.10.2 шлюзом стоит 10.0.10.1?
>>
>>ACL для NAT покажите?
>
>1. Для чего вам вилан1
>2. на какой он фиизический интерфейс приходит?
машина 10.0.10.2 идет через vlan1, так как на этой циске 1 порт wan f4 и 4 порта vlan c f0-f3. Физически кабель идет к f1
c871#show vlan-switch
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0, Fa1, Fa2, Fa3

"cisco 871 перенаправление портов "
Отправлено omiron , 04-Апр-10 11:45

>на машине 10.0.10.2 шлюзом стоит 10.0.10.1?
>
>ACL для NAT покажите?
на машине 10.0.10.2 шлюзом стоит 10.0.10.1
ранее всю сеть выпускал через PAT
ip nat inside source list 1 interface FastEthernet 4 overload
!
access-list 1 permit 10.0.10.0 0.0.0.255
но даже при всем этом порт из сети 192 остается filtered
Какой еще тогда нужен ACL ?

"cisco 871 перенаправление портов "
Отправлено ShyLion , 05-Апр-10 08:02

>Какой еще тогда нужен ACL ?
с первого взгляда все правильно настроено. А на веб-сервисе точно 81 порт доступен? нет ли там фильтрации по соурс адресу? с циски telnet 10.0.10.2 81
проходит?
а telnet 10.0.10.2 81 /source-interface fas4
проходит?
а если нат выключить совсем?
что показывает sho ip nat trans ?

"cisco 871 перенаправление портов "
Отправлено omiron , 05-Апр-10 08:41

>>Какой еще тогда нужен ACL ?
>
>с первого взгляда все правильно настроено. А на веб-сервисе точно 81 порт
>доступен? нет ли там фильтрации по соурс адресу? с циски telnet
>10.0.10.2 81
>проходит?
>а telnet 10.0.10.2 81 /source-interface fas4
>проходит?
>а если нат выключить совсем?
>что показывает sho ip nat trans ?
c871>telnet 10.0.10.2 81 /source-interface fas4
Trying 10.0.10.2, 81 ...
% Connection timed out; remote host not responding
c871>telnet 10.0.10.2 81
Trying 10.0.10.2, 81 ... Open
^C<html>
<head><title>400 Bad Request</title></head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
<hr><center>nginx/0.7.65</center>
</body>
</html>
[Connection to 10.0.10.2 closed by foreign host]
c871>
Как я понимаю через fas4 не хочит внуть проходить.
На вебе 81 работает и по нему с циски можно пройти как видно из лога.
В 1 сообщении нат правило было только 1 статический на порт, эффект один итото же filtered.
Вывод sh ip nat tran читай в первом сообщении в самом конце.
в момент выполнения telnet 10.0.10.2 81 /source-interface fas4
c871#sh ip nat tra
Pro Inside global Inside local Outside local Outside global
tcp 192.168.0.110:81 10.0.10.2:81 --- ---

"cisco 871 перенаправление портов "
Отправлено ShyLion , 05-Апр-10 13:04

>На вебе 81 работает и по нему с циски можно пройти как
>видно из лога.
выключи нат совсем и попробуй
telnet 10.0.10.2 81 /source-interface fas4
ping 10.0.10.2 source 192.168.0.110

"cisco 871 перенаправление портов "
Отправлено omiron , 05-Апр-10 16:10

>>На вебе 81 работает и по нему с циски можно пройти как
>>видно из лога.
>
>выключи нат совсем и попробуй
>telnet 10.0.10.2 81 /source-interface fas4
>
>ping 10.0.10.2 source 192.168.0.110
Вот тут то как раз загвоздку и нахожу.
С fas4 не пингуется 10.0.10.2 который за vlan, а ip самого vlan пингуется нормально.
В чем может быть проблема ? В маршрутах ?

"cisco 871 перенаправление портов "
Отправлено ShyLion , 05-Апр-10 16:13

>[оверквотинг удален]
>>telnet 10.0.10.2 81 /source-interface fas4
>>
>>ping 10.0.10.2 source 192.168.0.110
>
>Вот тут то как раз загвоздку и нахожу.
>
>С fas4 не пингуется 10.0.10.2 который за vlan, а ip самого vlan
>пингуется нормально.
>
>В чем может быть проблема ? В маршрутах ?
в маршруте на самом 10.0.10.2 или фаервол на нем-же.

"cisco 871 перенаправление портов "
Отправлено omiron , 05-Апр-10 17:28

>[оверквотинг удален]
>>>ping 10.0.10.2 source 192.168.0.110
>>
>>Вот тут то как раз загвоздку и нахожу.
>>
>>С fas4 не пингуется 10.0.10.2 который за vlan, а ip самого vlan
>>пингуется нормально.
>>
>>В чем может быть проблема ? В маршрутах ?
>
>в маршруте на самом 10.0.10.2 или фаервол на нем-же.
хм ... думаю движемся в правильному пути, на циске добавил
ip route 10.0.10.0 255.255.255.0 Vlan1
после чего стал пинговаться ping 10.0.10.2 source 192.168.0.110
и даже прошел telnet 10.0.10.2 81 /source-interface fas4
следовательно на самой циске с 192.168.0.110 стал виден 10.0.10.2:81, НО с любой из машины из сети 192.168.0.0 порт 81 filtered.
Отключил PAT оставив только правило на 81 порт, выкладываю debug:
c871#
*Apr 30 09:46:41.951: NAT*: o: tcp (192.168.0.1, 54497) -> (192.168.0.110, 81) [22290]
*Apr 30 09:46:41.951: NAT*: o: tcp (192.168.0.1, 54497) -> (192.168.0.110, 81) [22290]
*Apr 30 09:46:41.951: NAT*: s=192.168.0.1, d=192.168.0.110->10.0.10.2 [22290]
*Apr 30 09:46:44.951: NAT*: o: tcp (192.168.0.1, 54497) -> (192.168.0.110, 81) [22291]
*Apr 30 09:46:44.951: NAT*: s=192.168.0.1, d=192.168.0.110->10.0.10.2 [22291]
*Apr 30 09:46:48.215: NAT: expiring 192.168.0.110 (10.0.10.2) tcp 81 (81)
*Apr 30 09:46:48.215: NAT: expiring 192.168.0.110 (10.0.10.2) tcp 81 (81)
*Apr 30 09:46:49.239: NAT: expiring 192.168.0.110 (10.0.10.2) tcp 81 (81)
*Apr 30 09:46:50.951: NAT*: o: tcp (192.168.0.1, 54497) -> (192.168.0.110, 81) [22292]
*Apr 30 09:46:50.951: NAT*: s=192.168.0.1, d=192.168.0.110->10.0.10.2 [22292]
*Apr 30 09:47:02.955: NAT*: o: tcp (192.168.0.1, 54497) -> (192.168.0.110, 81) [22293]
*Apr 30 09:47:02.955: NAT*: s=192.168.0.1, d=192.168.0.110->10.0.10.2 [22293]
*Apr 30 09:47:26.963: NAT*: o: tcp (192.168.0.1, 54497) -> (192.168.0.110, 81) [22294]
*Apr 30 09:47:26.963: NAT*: s=192.168.0.1, d=192.168.0.110->10.0.10.2 [22294]
*Apr 30 09:48:27.043: NAT: expiring 192.168.0.110 (10.0.10.2) tcp 81 (81)

"cisco 871 перенаправление портов "
Отправлено ShyLion , 06-Апр-10 08:28

>хм ... думаю движемся в правильному пути, на циске добавил
>ip route 10.0.10.0 255.255.255.0 Vlan1
>после чего стал пинговаться ping 10.0.10.2 source 192.168.0.110
Это очень странно. Маршрут в эту сеть и так должен был быть, у тебя же интерйес в этой сети.

"cisco 871 перенаправление портов "
Отправлено omiron , 05-Апр-10 18:04

спасибо =) всё заработало, прелесть всего была в маршрутах.