https://www.opennet.ru/openforum/vsluhforumID6/17608.html Маршрутизатор cisco2821<br>Транслирую 20,21,23 порты сервера с айпи 1.1.3.1 на 2 внешних айпи 1.1.1.1 и 1.1.2.1.<br>По портам 21 и 23 все работает правильно. <br>А вот с 20 портом непонятки:<br>Клиентам Fa1/1 - 1.1.2.0 255.255.255.0 приходят пакеты с "неправильным" source адресом - 1.1.1.1.<br>клиентам Fa1/0 - 1.1.1.0 255.255.255.0 приходят пакеты с "правильным" source адресом - 1.1.1.1.<br><br>т.е. source адрес всегда подставляется один и тот же ... 1.1.1.1 (Внутренний глобальный всегда один и тот же)<br><br>Вопрос:<br>Как с этим бороться????<br><br>Схема:<br><br>Sever(1.1.3.1) - GI0/1 (router cisco2821) Fa1/0 - 1.1.1.0 255.255.255.0 <br> Fa1/1 - 1.1.2.0 255.255.255.0<br><br>interface FastEthernet1/0<br> switchport access vlan 110<br><br>interface FastEthernet1/1<br> switchport access vlan 111<br><br>interface Vlan110<br> ip address 1.1.1.1 255.255.255.0<br> ip access-group Vlan110_in in<br> ip nbar protocol-discovery<br> ip flow ingress<br> ip flow egress<br> ip nat outside<br> ip virtual-reassembly<br><br>interface Vlan111<br> ip address 1.1.2.1 255.255.255 https://www.opennet.ru/openforum/vsluhforumID6/17608.html#6 Fri, 28 Nov 2008 04:34:51 GMT ip nat inside source static tcp 1.1.3.1 20 1.1.1.1 20 extendable route-map rmap_1<br><br>ip access-list exstended test_acl<br>permit tcp host 1.1.3.1 1.1.1.0 0.0.0.255 log<br><br>route-map rmap_1<br>match address test_acl<br><br><br>Тоже работает неправильно .....<br> https://www.opennet.ru/openforum/vsluhforumID6/17608.html#5 Fri, 28 Nov 2008 04:34:33 GMT ip nat inside source static tcp 1.1.3.1 20 1.1.1.1 20 extendable route-map rmap_1<br><br>ip access-list exstended test_acl<br>permit tcp host 1.1.3.1 1.1.2.0 0.0.0.255 log<br><br>route-map rmap_1<br>match address test_acl<br><br><br>Тоже работает неправильно .....<br> https://www.opennet.ru/openforum/vsluhforumID6/17608.html#4 Wed, 19 Nov 2008 23:27:26 GMT &gt;через роут-мап с match interface ... <br><br>Пробывал ... не получается ....<br><br>Конфигурация плюс к тому что было<br>ip nat inside source route-map RMAP_2_NAT interface Vlan111 overload<br><br>ip access-list extended ACL_2_NAT<br> permit tcp host 1.1.3.1 eq ftp-data 1.1.2.0 0.0.0.255 eq ftp-data log<br><br>route-map RMAP_2_NAT permit 1<br> match ip address ACL_2_NAT<br> match interface Vlan111<br><br>и так <br>ip access-list extended ACL_2_NAT<br>permit tcp host 1.1.3.1 1.1.2.0 0.0.0.255 log<br>То же самое получется<br><br>Читал про работу FTP:<br>В моем случае получается:<br>Клиент из вне обращается к Внутреннему глобальному аресу NAT 1.1.2.1 на порт 21, затем маршрутизатор делает подмену дестинеэшен 1.1.2.1 на 1.1.3.1, куда пакет затем и направляется. Далее пакет идет обратно и меняется поле соурс с 1.1.3.1 на 1.1.2.1. Это работает - некие системные ФТПшные команды. Затем при передаче самих данных FTP сервер (1.1.3.1) инициирует соединение на клиента по 20 порту, а клиент в это время начинает "слушать" 20 порт. Пакет от сервера приходит в маршр https://www.opennet.ru/openforum/vsluhforumID6/17608.html#3 Wed, 19 Nov 2008 06:07:09 GMT &gt;[оверквотинг удален]<br>&gt; <br>&gt; --- <br>&gt;tcp 1.1.2.1:21 1.1.1.3:21 <br>&gt; --- <br>&gt; <br>&gt; --- <br>&gt;tcp 1.1.2.1:23 1.1.1.3:23 <br>&gt; --- <br>&gt; <br>&gt; --- <br><br>через роут-мап с match interface ...<br> https://www.opennet.ru/openforum/vsluhforumID6/17608.html#2 Tue, 18 Nov 2008 22:41:44 GMT &gt;если я правильно понял вопрос, то вам нужен двойной нат, т.е. подмена <br>&gt;и source и destination..такое только пиксы умеют.. <br><br>Нет ... мне нада чтобы в поле source была правильная подмена. Пакет выходит через интерфейс 1,1,2,1 а маршрутизатор в соурс подставляет 1,1,1,1 .... <br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/17608.html#1 Tue, 18 Nov 2008 09:35:17 GMT &gt;[оверквотинг удален]<br>&gt; <br>&gt; --- <br>&gt;tcp 1.1.2.1:21 1.1.1.3:21 <br>&gt; --- <br>&gt; <br>&gt; --- <br>&gt;tcp 1.1.2.1:23 1.1.1.3:23 <br>&gt; --- <br>&gt; <br>&gt; --- <br><br>если я правильно понял вопрос, то вам нужен двойной нат, т.е. подмена и source и destination..такое только пиксы умеют..<br>