https://www.opennet.dev/openforum/vsluhforumID6/14988.html Всем доброго времени суток!<br>Суть проблеммы следующая в локальной сети есть squid+шлюз на нём проброшенны порты 25 и 110 для забора почты с маил яндекс итд. В локальной сети стоит основная циска 1841 к ней по дмвпн цепляются ещё 7 870. Нужно перенаправить из удалённых подсетей 110 25 порты на ip в локальной подсети. Пробовал динамический нат не чего не выходит. Кофиг циски удалённой подсети<br><br><br><br><br><br>ip nat pool proxy 192.168.0.3 192.168.0.3 netmask 255.255.255.0<br>ip nat inside source route-map SDM_RMAP_6 pool proxy overload<br><br>route-map SDM_RMAP_6 permit 1<br> match ip address 101<br><br>access-list 101 remark SDM_ACL Category=3<br>access-list 101 permit ip 192.168.6.0 0.0.0.255 any (поскольку не получается только 25 и 110 пробую все)<br><br>на интерфейсах ip nat outside и ip nat intside проставленны правильно.<br>Кто сталкивался с таким или знает решение подскажите. <br>Спасибо.<br> https://www.opennet.dev/openforum/vsluhforumID6/14988.html#9 Tue, 02 Sep 2008 18:15:35 GMT А че вся эта хрень значит?<br><br>Вот у меня все проще. Видимо 25 порт заблокирован.<br><br>Поставили сервак который смотрит в инет и в локалу. На нем ws 2003. Подняли нат. чтоб безлимитка была на 3 машины. входящая почта работает а исходящая нет. Как быть. Че делать.<br> https://www.opennet.dev/openforum/vsluhforumID6/14988.html#8 Thu, 06 Dec 2007 06:48:05 GMT Обычно под термином открыть порты - понимают разрешение их в ACL.<br>В данном случае нужно именно пробросить(я правильно понимаю) - Можно конечно что-то из серии<br>1.1.1.1:22 &gt; 192.168.1.1:22 &gt; 10.1.1.1:22 Но помойму проще сократить цепочку до <br>1.1.1.1:22 &gt; 10.1.1.1:22 то есть прописав на шлюзе<br> https://www.opennet.dev/openforum/vsluhforumID6/14988.html#7 Wed, 05 Dec 2007 16:54:51 GMT &gt;[оверквотинг удален]<br>&gt;&gt;! <br>&gt;&gt;ip nat pool test x.x.x.x x.x.x.x prefix-length 30 <br>&gt;&gt;ip nat inside source list 7 pool test <br>&gt;&gt;ip nat inside source static tcp 192.168.1.2 22 x.x.x.x 22 extendable no-alias <br>&gt;&gt;<br>&gt;&gt;! <br>&gt;&gt;access-list 7 permit 192.168.1.0 <br>&gt;&gt;access-list 7 permit any <br>&gt;<br>&gt;Спасибо попробую сегодня <br><br>Что вашим способом что мом любые порты натит без проблемм (как я сегодня это понял попробовав на телнете) проблемма похоже кроется что фаервёл тоже натит эти порты (25 110) и нат циски отказывается работать ещё с одним натом. Если задать ещё один шлюз ip route 0.0.0.0 0.0.0.0 прокси начинает работать но что естественно из локалки отваливаются удалённые клиенты. Как можно открыть порты на шлюзе не используя нат или заставить циску работать ещё с одним натом?<br> https://www.opennet.dev/openforum/vsluhforumID6/14988.html#6 Wed, 05 Dec 2007 16:54:01 GMT &gt;[оверквотинг удален]<br>&gt;&gt;! <br>&gt;&gt;ip nat pool test x.x.x.x x.x.x.x prefix-length 30 <br>&gt;&gt;ip nat inside source list 7 pool test <br>&gt;&gt;ip nat inside source static tcp 192.168.1.2 22 x.x.x.x 22 extendable no-alias <br>&gt;&gt;<br>&gt;&gt;! <br>&gt;&gt;access-list 7 permit 192.168.1.0 <br>&gt;&gt;access-list 7 permit any <br>&gt;<br>&gt;Спасибо попробую сегодня <br><br>Что вашим способом что мом любые порты натит без проблемм (как я сегодня это понял попробовав на телнете) проблемма похоже кроется что фаервёл тоже натит эти порты (25 110) и нат циски отказывается работать ещё с одним натом. Если задать ещё один шлюз ip route 0.0.0.0 0.0.0.0 прокси начинает работать но что естественно из локалки отваливаются удалённые клиенты. Как можно открыть порты на шлюзе не используя нат или заставить циску работать ещё с одним натом?<br> https://www.opennet.dev/openforum/vsluhforumID6/14988.html#5 Wed, 05 Dec 2007 07:29:58 GMT &gt;[оверквотинг удален]<br>&gt;! <br>&gt;ip route 0.0.0.0 0.0.0.0 x.x.x.y <br>&gt;! <br>&gt;ip nat pool test x.x.x.x x.x.x.x prefix-length 30 <br>&gt;ip nat inside source list 7 pool test <br>&gt;ip nat inside source static tcp 192.168.1.2 22 x.x.x.x 22 extendable no-alias <br>&gt;<br>&gt;! <br>&gt;access-list 7 permit 192.168.1.0 <br>&gt;access-list 7 permit any <br><br>Спасибо попробую сегодня<br> https://www.opennet.dev/openforum/vsluhforumID6/14988.html#4 Tue, 04 Dec 2007 09:50:58 GMT Чем SDM не люблю, так это загаживанием конфига :)<br><br>Вот пример - может поможет.<br><br><br>Вот пример проброса 22 порта + NAT.<br>!<br>interface FastEthernet4<br> description ВНЕШНИЙ ИНТЕФЕЙС<br> ip address x.x.x.x<br> ip nat outside<br> ip virtual-reassembly<br> duplex auto<br> speed auto<br>!<br>interface Vlan1<br> description ВНУТРЕННИЙ ИНТЕФЕЙС<br> ip address 192.168.1.1 255.255.255.0<br> ip nat inside<br> ip virtual-reassembly<br>!<br>ip route 0.0.0.0 0.0.0.0 x.x.x.y<br>!<br>ip nat pool test x.x.x.x x.x.x.x prefix-length 30<br>ip nat inside source list 7 pool test<br>ip nat inside source static tcp 192.168.1.2 22 x.x.x.x 22 extendable no-alias<br>!<br>access-list 7 permit 192.168.1.0<br>access-list 7 permit any<br><br> https://www.opennet.dev/openforum/vsluhforumID6/14988.html#3 Tue, 04 Dec 2007 09:04:06 GMT &gt;[оверквотинг удален]<br>&gt;&gt;и 110 пробую все) <br>&gt;&gt;<br>&gt;&gt;на интерфейсах ip nat outside и ip nat intside проставленны <br>&gt;&gt;правильно. <br>&gt;&gt;Кто сталкивался с таким или знает решение подскажите. <br>&gt;&gt;Спасибо. <br>&gt;<br>&gt;Кажется я понял в чём было дело на шлюзе эти порты я <br>&gt;тоже натом пробрасывал могу понять так что nat на шлюзе + <br>&gt;nat на циске не работают вместе <br><br>Конфиг сильно порезан acl листы и приведён без попытки настроить nat если чегото не хратает пишите. Это конфиг основной циски с ней таже проблемма. Да и вот в чём особенность если указать в статической марш. шлюзом прокси всё начинает работать.<br><br>Current configuration : 20518 bytes<br>!<br>version 12.4<br>no service pad<br>service tcp-keepalives-in<br>service tcp-keepalives-out<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>no service password-encryption<br>service sequence-numbers<br>!<br>hostname vecomoffice<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>security authentication failure rate 3 log<br>security passwords min-length 6<br>logging buf https://www.opennet.dev/openforum/vsluhforumID6/14988.html#2 Tue, 04 Dec 2007 08:45:11 GMT конфиг в студию.....<br> https://www.opennet.dev/openforum/vsluhforumID6/14988.html#1 Tue, 04 Dec 2007 08:44:30 GMT &gt;[оверквотинг удален]<br>&gt; match ip address 101 <br>&gt;<br>&gt;access-list 101 remark SDM_ACL Category=3 <br>&gt;access-list 101 permit ip 192.168.6.0 0.0.0.255 any (поскольку не получается только 25 <br>&gt;и 110 пробую все) <br>&gt;<br>&gt;на интерфейсах ip nat outside и ip nat intside проставленны <br>&gt;правильно. <br>&gt;Кто сталкивался с таким или знает решение подскажите. <br>&gt;Спасибо. <br><br>Кажется я понял в чём было дело на шлюзе эти порты я тоже натом пробрасывал могу понять так что nat на шлюзе + nat на циске не работают вместе<br>