cisco nat problems

[maniac22]

всем доброго времени суток Для начала:

Код: Выделить всё

Router#sh version
Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(25b),
RELEASE SOFTWARE (fc1)
=====
=====
Cisco 1841 (revision 7.0) with 115712K/15360K bytes of memory.
Processor board ID FHK134174FJ
2 FastEthernet interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
31488K bytes of ATA CompactFlash (Read/Write)

Configuration register is 0x2142

sh run

Код: Выделить всё

Current configuration : 2882 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!

!
no aaa new-model
ip cef
!
!
!
!
ip name-server xxx.xxx.xxx.xxx
ip auth-proxy max-nodata-conns 3
interface FastEthernet0/0
 ip address 192.168.4.1 255.255.255.0 secondary
 ip address 192.168.10.1 255.255.255.0 secondary
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
interface FastEthernet0/1
 ip address xxx.xxx.xxx.105 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 shutdown
 duplex auto
 speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.1
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat inside source static 192.168.10.4 xxx.xxx.xxx.84
ip nat inside source static 192.168.10.3 xxx.xxx.xxx.85
ip nat inside source static 192.168.1.100 xxx.xxx.xxx.99 
!
!
!
!
control-plane
!
!
!
line con 0
line aux 0
 login
line vty 0 4
 privilege level 15
 login local
 transport input ssh
!
scheduler allocate 20000 1000
end

Далее логическая схемка задачи:
xxx.xxx.xxx.xxx-------ISP gateway
|
|
|
yyy.yyy.yyy.yyy------wan ip
============cisco router
192.168.1.1/24 lan1
192.168.10.1/24 lan2_secondary #ети 3 айпишника на 1м интерфейсе будут
192.168.4.1/24 lan3_secondary
=======================
|
|
(switch)

Постановка задачи:
1)10.3 на етот внутренний мапим реальный айпи xxx.xxx.xxx.85
ip nat inside static 192.168.10.3 xxx.xxx.xxx.85
2)10.4 на етот внутренний мапим реальный айпи xxx.xxx.xxx.84
ip nat inside static 192.168.10.4 xxx.xxx.xxx.84
Далее начинается самое интересное:
3)10.5 должен выходить в инет под реальным айпи xxx.xxx.xxx.99
а на него должны стучаться по xxx.xxx.xxx.101 айпи адресу по портам:1210 1211 1212 8221

5)1.100 мапим реальный айпи xxx.xxx.xxx.99
ip nat inside 192.168.100.1 xxx.xxx.xxx.99
6)4.0 делаем привязку по мак адресу и мапим всем внешний айпи xxx.xxx.xxx.101
ip nat inside static 192.168.4.0/24 xxx.xxx.xxx.101 extandable
тут у нас всего 3 машины поетому можно сделать так:
arp <ip-addr> <mac-addr> arpa
7)1.0 разрешаем выход в мир под айпи роутера xxx.xxx.xxx.105 ну и соотвественно разрешаем етим ланам между собой общаться
ip nat inside source list 1 interface FastEthernet0/1 overload
access list remark 1 permit_lans
access list 1 permit 192.168.1.0 0.0.0.255
access list 1 permit 192.168.10.0 0.0.0.255
access list 1 permit 192.168.4.0 0.0.0.255
Все понятно по идее все будет работать.
Непонятки возникают с 3м пунктом.Были задумки разрешить нат на 2 внешних айпишника xxx.xxx.xxx.99 и xxx.xxx.xxx.101
затем создать access-list в котором входящие соединения на порты кроме 1210 1211 1212 8221 дропнуть.Но ето как то укладывается в голове -)
Вообщем пните в нужную сторону -)

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[maniac22]

В принципе можно сделать так:
на айпи 192.168.10.5 делаем
ip nat inside source static 192.168.10.5 89.28.53.99 extandable
ip nat inside source static 192.168.10.5 1210-1212 8221 89.28.53.101 1210-1212 8221 extandable

и создаем named access-list в котором пишем 3 правила:
=====================================
ip access-list extandable 192.168.10.5
10 permit host 89.28.53.99 any
20 permit any host 89.28.53.101 eq 1210-1212 8221
30 deny any any

и на внешнем интерфейсе соотвественно пишем
interface fa0/1
ip access-group 192.168.10.5 out

Вопрос будет ли ето работать?Возможности нет проверить так как там стоят 3 боевых сервака на 10.3 10.4 10.5 которые подключены к checkpoint'у и у него какбе завтра закнчивается лицензия и надо все ето дело с утра перенести на циску -))То есть нужно удостовериться сразу что все будет работать -))

[maniac22]

В принципе можно сделать так:
на айпи 192.168.10.5 делаем
ip nat inside source static 192.168.10.5 89.28.53.99 extandable
ip nat inside source static 192.168.10.5 1210-1212 8221 89.28.53.101 1210-1212 8221 extandable

и создаем named access-list в котором пишем 3 правила:
=====================================
ip access-list extandable 192.168.10.5
10 permit host 89.28.53.99 any
20 permit any host 89.28.53.101 eq 1210-1212 8221
30 deny any any

и на внешнем интерфейсе соотвественно пишем
interface fa0/1
ip access-group 192.168.10.5 out

Вопрос будет ли ето работать?Возможности нет проверить так как там стоят 3 боевых сервака на 10.3 10.4 10.5 которые подключены к checkpoint'у и у него какбе завтра закнчивается лицензия и надо все ето дело с утра перенести на циску -))То есть нужно удостовериться сразу что все будет работать -))

[lap]

Как решить твою проблему я наверное незнаю, но навсякий случай хочу уточнить - "ip nat inside source static 192.168.10.5 1210-1212 8221 89.28.53.101 1210-1212 8221 extandable" не прокатит, надо рисовать 3 отдельные строчки. и если транслируешь порты, то надо казывать протокол.

Код: Выделить всё

ip nat inside source static tcp 192.168.0.14 23 interface Dialer0 2023

Аксес листом ..... ты отсушишь все остальное, кроме явно разрешенного в нем (и в конфиге он называется Extended). такаяже как и в нате ботва со списком портов, работает только range через тире. И порты можно указывать если ты задаешь какойнибудь протокол (тцп/юдп и пр). Если протокол IP, то указать можно только ипишники.

Код: Выделить всё

!
ip access-list extended blacklist
 deny   tcp host 83.150.146.63 any eq 3389
 permit ip any any
!

И даст-ли цыска прописать нат одного локального адреса в два публичных тоже неизвестно.
Попробуй копнуть в сторону ната по роутмапе.

[maniac22]

И даст-ли цыска прописать нат одного локального адреса в два публичных тоже неизвестно.

если в конце следует опция extandable
ip nat inside source static 192.168.10.5 xxx.xxx.xxx.99 extandable -то есть на офф сайте циски было написано что она позволяет замапить 1 локальный айпи на 2 реальных

[maniac22]

Все сделал -)Если кому интересна реализация могу скинуть кусок конфига

[Daywalker]

Все сделал -)Если кому интересна реализация могу скинуть кусок конфига

интересно, скидывай

[maniac22]

interface FastEthernet0/0
description LAN
ip address 192.168.10.1 255.255.255.0 secondary
ip address 192.168.4.1 255.255.255.0 secondary
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
description WAN
ip address xxx.xxx.xxx.105 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.1
!
!
no ip http server
no ip http authentication local
no ip http secure-server
ip nat translation timeout 600
#Создал 2 пула каждый имеет по одному внешнему айпи
ip nat pool xxx.xxx.xxx.99 xxx.xxx.xxx.99 xxx.xxx.xxx.99 prefix-length 24
ip nat pool xxx.xxx.xxx.101 xxx.xxx.xxx.101 xxx.xxx.xxx.101 prefix-length 24
#Все кто в 10м access-list'е имееют на выходе внешний айпи fa0/1 при помощи nat overload
ip nat inside source list 10 interface FastEthernet0/1 overload
#Все кто в 20м access-list'e имееют на выходе айпи который указан в 1м пуле при помощи overload
ip nat inside source list 20 pool xxx.xxx.xxx.99 overload
#Все кто в 30м access-list'e имееют на выходе айпи который указан в 2м пуле при помощи overload
ip nat inside source list 30 pool xxx.xxx.xxx.101 overload
#Дальше идет проброс портов необходимых для сервисов которые из вне будут стучаться на ети внешние айпи адреса по портам
ip nat inside source static tcp 192.168.10.4 80 xxx.xxx.xxx.84 80 extendable
ip nat inside source static udp 192.168.10.4 80 xxx.xxx.xxx.84 80 extendable
ip nat inside source static tcp 192.168.10.3 80 xxx.xxx.xxx.85 80 extendable
ip nat inside source static udp 192.168.10.3 80 xxx.xxx.xxx.85 80 extendable
ip nat inside source static tcp 192.168.1.100 80 xxx.xxx.xxx.99 80 extendable
ip nat inside source static udp 192.168.1.100 80 xxx.xxx.xxx.99 80 extendable
ip nat inside source static tcp 192.168.1.100 3389 xxx.xxx.xxx.99 3389 extendable
ip nat inside source static udp 192.168.1.100 3389 xxx.xxx.xxx.99 3389 extendable
ip nat inside source static tcp 192.168.10.5 1210 xxx.xxx.xxx.101 1210 extendable
ip nat inside source static udp 192.168.10.5 1210 xxx.xxx.xxx.101 1210 extendable
ip nat inside source static tcp 192.168.10.5 1211 xxx.xxx.xxx.101 1211 extendable
ip nat inside source static udp 192.168.10.5 1211 xxx.xxx.xxx.101 1211 extendable
ip nat inside source static tcp 192.168.10.5 1212 xxx.xxx.xxx.101 1212 extendable
ip nat inside source static udp 192.168.10.5 1212 xxx.xxx.xxx.101 1212 extendable
ip nat inside source static tcp 192.168.10.5 8221 xxx.xxx.xxx.101 8221 extendable
ip nat inside source static udp 192.168.10.5 8221 xxx.xxx.xxx.101 8221 extendable
!
access-list 10 remark permit NAT 1.0=>fa0/0 ip deny=192.168.1.100 1.16
#Туту мы запретили 1.100 1.16 выход под айпи fa0/1
access-list 10 deny 192.168.1.100
access-list 10 deny 192.168.1.16
access-list 10 permit 192.168.1.0 0.0.0.255
access-list 20 permit 192.168.1.100
access-list 20 permit 192.168.10.3
access-list 20 permit 192.168.10.4
access-list 20 remark permit 10.5&1.100=>xx.99
access-list 20 permit 192.168.10.5
access-list 20 permit 192.168.1.16
access-list 30 permit 192.168.4.4
access-list 30 remark 192.168.4.0=>xxx.xxx.xxx.101
access-list 30 permit 192.168.4.1
access-list 30 permit 192.168.4.2
access-list 30 permit 192.168.4.3


Вот вроде и все -)Да согласен кривовато но таковы были требования у начальства да и времени было не так уж и много