The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Не телнетится 21 порт за натом в 7206"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Диагностика и решение проблем)
Изначальное сообщение [ Отслеживать ]

"Не телнетится 21 порт за натом в 7206"  +/
Сообщение от _RAW_ email(ok) on 29-Окт-10, 15:45 
Добрый день.
Что то я голову сломал всю, не понимаю в чем подвох.
Сменил недавно NPE-400 на NPE-G2
Конфигурацию перенес по возможности полностью. Конфигурация трехлучевая - провайдер, DMZ с маршрутизируемыми адресами и локалка за NAT overload.

Заметил давеча что из локалки не могу протелнетить 21 порт внешних ресурсов. Из DMZ телнетится, ftp сервера в DMZ тоже телнетятся из локалки на ура. Если я на внешних ресурсах в инете меняю порт ftp на какой нибудь верхний - тоже все из локалки телнетится на ура по новому порту.

Подумалось что аксесслисты - нет, не они. поставил заглушки permit ip any any на все направления всех интерфейсов циски - не помогло. Телнет на любые другие порты работает, кроме заколдованного 21 порта.
Причем когда пытаюсь телнетиться sh ip nat tra показывает запись о моем присутствии и попытке законнектиться на 21 порт удаленного ресурса все как положено...

В чем соль то? Где я слепой и не вижу очевидного?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Не телнетится 21 порт за натом в 7206"  +/
Сообщение от Barbos email on 29-Окт-10, 19:53 
Сегодня день особый.... Телепатия не работает.... Конфиги в студию !!!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Не телнетится 21 порт за натом в 7206"  +/
Сообщение от _RAW_ email(ok) on 01-Ноя-10, 11:00 
> Сегодня день особый.... Телепатия не работает.... Конфиги в студию !!!

Не думаю что вам они сильно помогут. Там все стандартно до мозга костей. но вот кусок конфига в части касающейся (аксесслисты специально занулены, дабы исключить их влияние какое либо, айпишники тоже заменены, но там все корректно). В данном случае 3.100 это мой хост за натом (мой гейт 3.1) 0.4 это хост TMG2010 за которым сидит офис (он у них гейтом 3.4). Ни я ни офис 21 порт не видим, остальные видим. ВСЕ ОСТАЛЬНЫЕ видим:

interface GigabitEthernet0/1
description DMZ
ip address 78.109.73.1 255.255.255.240
ip access-group dmzin in
ip access-group dmzout out
ip accounting output-packets
ip virtual-reassembly
no ip mroute-cache
duplex auto
speed auto
media-type rj45
negotiation auto

interface GigabitEthernet0/2
description LAN
ip address 192.168.0.1 255.255.255.0 secondary
ip address 192.168.3.1 255.255.255.0
ip access-group lvsin in
ip access-group lvsout out
ip accounting output-packets
ip nat inside
ip virtual-reassembly
ip policy route-map comcor-map
no ip mroute-cache
duplex auto
speed auto
media-type rj45
negotiation auto

interface FastEthernet1/0
description COMCOR
ip address 63.118.88.5 255.255.255.252
ip access-group comcorin in
ip access-group comcorout out
no ip redirects
no ip unreachables
ip nat outside
ip virtual-reassembly
duplex auto
speed auto

ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 63.118.88.6

ip nat pool comcor-space 63.118.88.5 63.118.88.5 netmask 255.255.255.252
ip nat inside source route-map comcor-map pool comcor-space overload

ip access-list extended comcorin
permit ip any any
ip access-list extended comcorout
permit ip any any
ip access-list extended dmzin
permit ip any any
ip access-list extended dmzout
permit ip any any
ip access-list extended lvsin
permit ip any any
ip access-list extended lvsout
permit ip any any
ip access-list extended permitinternet
permit ip host 192.168.3.100 any
permit ip host 192.168.0.4 any

route-map comcor-map permit 10
match ip address permitinternet
match interface FastEthernet1/0
set default interface FastEthernet1/0

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Не телнетится 21 порт за натом в 7206"  +/
Сообщение от _RAW_ email(ok) on 07-Дек-10, 16:30 
Вопрос по ходу можно закрывать.
проконсультировался в свое время со знакомым CCIE, он навел на мысль что во всем виновата тестовая прошивка. БОльше просто глюку взяться неоткуда. Так что перепрошивка на релизный иос решила данную проблему.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру