forum.opennet.ru - "cisco 871 перенаправление портов " (12)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"cisco 871 перенаправление портов "

Форумы Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"cisco 871 перенаправление портов "		+/–
Сообщение от omiron (??) on 04-Апр-10, 00:36
Помогите пожалуйста в изучении cisco nat. Какой день уже бьюсь ничего не выходит. Имеется cisco 871 и 2 сети 1 сеть - 192.168.0.0/24 в ней cisco выходит через интерфейс F4 2 сеть - 10.0.10.0/24 уже за cisco vlan 1 В сети 10.0.10.0 имеется машина с запущеным на ней веб сервером по 81 порту, её ip 10.0.10.2 Надо получить доступ из сети 192.168.0.0/24 на 81 порт машины 10.0.10.2 Конфиг циски: Current configuration : 1489 bytes ! version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname c871 ! boot-start-marker boot-end-marker ! aaa new-model ! aaa session-id common ip cef ! multilink bundle-name authenticated ! interface Loopback1 ip address 10.0.0.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 ip address 192.168.0.110 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto ! interface Vlan1 ip address 10.0.10.1 255.255.255.0 ip nat inside ip virtual-reassembly ! ip route 0.0.0.0 0.0.0.0 192.168.0.1 ! no ip http server no ip http secure-server ip nat inside source static tcp 10.0.10.2 81 192.168.0.110 81 extendable ! Пытаюсь стучаться со 192.168.0.1 на 192.168.0.110 по порту 81 соединение не проходит. ###### лог nmap nmap 192.168.0.110 Starting Nmap 4.76 ( http://nmap.org ) at 2010-04-04 00:26 MSD Interesting ports on 192.168.0.110: Not shown: 997 closed ports PORT STATE SERVICE 22/tcp open ssh 23/tcp open telnet 81/tcp filtered hosts2-ns MAC Address: 00:1C:B1:EF:94:21 (Cisco Systems) ##### telnet 192.168.0.110 81 Trying 192.168.0.110... c871#sh ip nat translations Pro Inside global Inside local Outside local Outside global tcp 192.168.0.110:81 10.0.10.2:81 192.168.0.1:57860 192.168.0.1:57860 tcp 192.168.0.110:81 10.0.10.2:81 --- ---
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

cisco 871 перенаправление портов , shadow_alone, 02:30 , 04-Апр-10, (1)

cisco 871 перенаправление портов , Gbyte, 10:27 , 04-Апр-10, (2)

cisco 871 перенаправление портов , omiron, 11:47 , 04-Апр-10, (4)

cisco 871 перенаправление портов , omiron, 11:45 , 04-Апр-10, (3)

cisco 871 перенаправление портов , ShyLion, 08:02 , 05-Апр-10, (5)

cisco 871 перенаправление портов , omiron, 08:41 , 05-Апр-10, (6)

cisco 871 перенаправление портов , ShyLion, 13:04 , 05-Апр-10, (7)

cisco 871 перенаправление портов , omiron, 16:10 , 05-Апр-10, (8)

cisco 871 перенаправление портов , ShyLion, 16:13 , 05-Апр-10, (9)

cisco 871 перенаправление портов , omiron, 17:28 , 05-Апр-10, (10)

cisco 871 перенаправление портов , ShyLion, 08:28 , 06-Апр-10, (12)

cisco 871 перенаправление портов , omiron, 18:04 , 05-Апр-10, (11)

Сообщения по теме [Сортировка по времени | RSS]

1. "cisco 871 перенаправление портов " +/–

Сообщение от shadow_alone (ok) on 04-Апр-10, 02:30

на машине 10.0.10.2 шлюзом стоит 10.0.10.1?
ACL для NAT покажите?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "cisco 871 перенаправление портов " +/–

Сообщение от Gbyte (ok) on 04-Апр-10, 10:27

>на машине 10.0.10.2 шлюзом стоит 10.0.10.1?
>
>ACL для NAT покажите?
1. Для чего вам вилан1
2. на какой он фиизический интерфейс приходит?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "cisco 871 перенаправление портов " +/–

Сообщение от omiron (??) on 04-Апр-10, 11:47

>>на машине 10.0.10.2 шлюзом стоит 10.0.10.1?
>>
>>ACL для NAT покажите?
>
>1. Для чего вам вилан1
>2. на какой он фиизический интерфейс приходит?
машина 10.0.10.2 идет через vlan1, так как на этой циске 1 порт wan f4 и 4 порта vlan c f0-f3. Физически кабель идет к f1
c871#show vlan-switch
VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0, Fa1, Fa2, Fa3

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "cisco 871 перенаправление портов " +/–

Сообщение от omiron (??) on 04-Апр-10, 11:45

>на машине 10.0.10.2 шлюзом стоит 10.0.10.1?
>
>ACL для NAT покажите?
на машине 10.0.10.2 шлюзом стоит 10.0.10.1
ранее всю сеть выпускал через PAT
ip nat inside source list 1 interface FastEthernet 4 overload
!
access-list 1 permit 10.0.10.0 0.0.0.255
но даже при всем этом порт из сети 192 остается filtered
Какой еще тогда нужен ACL ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "cisco 871 перенаправление портов " +/–

Сообщение от ShyLion (ok) on 05-Апр-10, 08:02

>Какой еще тогда нужен ACL ?
с первого взгляда все правильно настроено. А на веб-сервисе точно 81 порт доступен? нет ли там фильтрации по соурс адресу? с циски telnet 10.0.10.2 81
проходит?
а telnet 10.0.10.2 81 /source-interface fas4
проходит?
а если нат выключить совсем?
что показывает sho ip nat trans ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "cisco 871 перенаправление портов " +/–

Сообщение от omiron (??) on 05-Апр-10, 08:41

>>Какой еще тогда нужен ACL ?
>
>с первого взгляда все правильно настроено. А на веб-сервисе точно 81 порт
>доступен? нет ли там фильтрации по соурс адресу? с циски telnet
>10.0.10.2 81
>проходит?
>а telnet 10.0.10.2 81 /source-interface fas4
>проходит?
>а если нат выключить совсем?
>что показывает sho ip nat trans ?
c871>telnet 10.0.10.2 81 /source-interface fas4
Trying 10.0.10.2, 81 ...
% Connection timed out; remote host not responding
c871>telnet 10.0.10.2 81
Trying 10.0.10.2, 81 ... Open
^C<html>
<head><title>400 Bad Request</title></head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
<hr><center>nginx/0.7.65</center>
</body>
</html>
[Connection to 10.0.10.2 closed by foreign host]
c871>
Как я понимаю через fas4 не хочит внуть проходить.
На вебе 81 работает и по нему с циски можно пройти как видно из лога.
В 1 сообщении нат правило было только 1 статический на порт, эффект один итото же filtered.
Вывод sh ip nat tran читай в первом сообщении в самом конце.
в момент выполнения telnet 10.0.10.2 81 /source-interface fas4
c871#sh ip nat tra
Pro Inside global         Inside local          Outside local         Outside global
tcp 192.168.0.110:81      10.0.10.2:81          ---                   ---

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "cisco 871 перенаправление портов " +/–

Сообщение от ShyLion (ok) on 05-Апр-10, 13:04

>На вебе 81 работает и по нему с циски можно пройти как
>видно из лога.
выключи нат совсем и попробуй
telnet 10.0.10.2 81 /source-interface fas4
ping 10.0.10.2 source 192.168.0.110

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "cisco 871 перенаправление портов " +/–

Сообщение от omiron (??) on 05-Апр-10, 16:10

>>На вебе 81 работает и по нему с циски можно пройти как
>>видно из лога.
>
>выключи нат совсем и попробуй
>telnet 10.0.10.2 81 /source-interface fas4
>
>ping 10.0.10.2 source 192.168.0.110
Вот тут то как раз загвоздку и нахожу.
С fas4 не пингуется 10.0.10.2 который за vlan, а ip самого vlan пингуется нормально.
В чем может быть проблема ? В маршрутах ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "cisco 871 перенаправление портов " +/–

Сообщение от ShyLion (ok) on 05-Апр-10, 16:13

>[оверквотинг удален]
>>telnet 10.0.10.2 81 /source-interface fas4
>>
>>ping 10.0.10.2 source 192.168.0.110
>
>Вот тут то как раз загвоздку и нахожу.
>
>С fas4 не пингуется 10.0.10.2 который за vlan, а ip самого vlan
>пингуется нормально.
>
>В чем может быть проблема ? В маршрутах ?
в маршруте на самом 10.0.10.2 или фаервол на нем-же.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "cisco 871 перенаправление портов " +/–

Сообщение от omiron (??) on 05-Апр-10, 17:28

>[оверквотинг удален]
>>>ping 10.0.10.2 source 192.168.0.110
>>
>>Вот тут то как раз загвоздку и нахожу.
>>
>>С fas4 не пингуется 10.0.10.2 который за vlan, а ip самого vlan
>>пингуется нормально.
>>
>>В чем может быть проблема ? В маршрутах ?
>
>в маршруте на самом 10.0.10.2 или фаервол на нем-же.
хм ... думаю движемся в правильному пути, на циске добавил
ip route 10.0.10.0 255.255.255.0 Vlan1
после чего стал пинговаться ping 10.0.10.2 source 192.168.0.110
и даже прошел telnet 10.0.10.2 81 /source-interface fas4
следовательно на самой циске с 192.168.0.110 стал виден 10.0.10.2:81, НО с любой из машины из сети 192.168.0.0 порт 81 filtered.
Отключил PAT оставив только правило на 81 порт, выкладываю debug:
c871#
*Apr 30 09:46:41.951: NAT*: o: tcp (192.168.0.1, 54497) -> (192.168.0.110, 81) [22290]
*Apr 30 09:46:41.951: NAT*: o: tcp (192.168.0.1, 54497) -> (192.168.0.110, 81) [22290]
*Apr 30 09:46:41.951: NAT*: s=192.168.0.1, d=192.168.0.110->10.0.10.2 [22290]
*Apr 30 09:46:44.951: NAT*: o: tcp (192.168.0.1, 54497) -> (192.168.0.110, 81) [22291]
*Apr 30 09:46:44.951: NAT*: s=192.168.0.1, d=192.168.0.110->10.0.10.2 [22291]
*Apr 30 09:46:48.215: NAT: expiring 192.168.0.110 (10.0.10.2) tcp 81 (81)
*Apr 30 09:46:48.215: NAT: expiring 192.168.0.110 (10.0.10.2) tcp 81 (81)
*Apr 30 09:46:49.239: NAT: expiring 192.168.0.110 (10.0.10.2) tcp 81 (81)
*Apr 30 09:46:50.951: NAT*: o: tcp (192.168.0.1, 54497) -> (192.168.0.110, 81) [22292]
*Apr 30 09:46:50.951: NAT*: s=192.168.0.1, d=192.168.0.110->10.0.10.2 [22292]
*Apr 30 09:47:02.955: NAT*: o: tcp (192.168.0.1, 54497) -> (192.168.0.110, 81) [22293]
*Apr 30 09:47:02.955: NAT*: s=192.168.0.1, d=192.168.0.110->10.0.10.2 [22293]
*Apr 30 09:47:26.963: NAT*: o: tcp (192.168.0.1, 54497) -> (192.168.0.110, 81) [22294]
*Apr 30 09:47:26.963: NAT*: s=192.168.0.1, d=192.168.0.110->10.0.10.2 [22294]
*Apr 30 09:48:27.043: NAT: expiring 192.168.0.110 (10.0.10.2) tcp 81 (81)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "cisco 871 перенаправление портов " +/–

Сообщение от ShyLion (ok) on 06-Апр-10, 08:28

>хм ... думаю движемся в правильному пути, на циске добавил
>ip route 10.0.10.0 255.255.255.0 Vlan1
>после чего стал пинговаться ping 10.0.10.2 source 192.168.0.110
Это очень странно. Маршрут в эту сеть и так должен был быть, у тебя же интерйес в этой сети.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "cisco 871 перенаправление портов " +/–

Сообщение от omiron (??) on 05-Апр-10, 18:04

спасибо =) всё заработало, прелесть всего была в маршрутах.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "cisco 871 перенаправление портов "		+/–
Сообщение от shadow_alone (ok) on 04-Апр-10, 02:30
на машине 10.0.10.2 шлюзом стоит 10.0.10.1? ACL для NAT покажите?
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "cisco 871 перенаправление портов "		+/–
	Сообщение от Gbyte (ok) on 04-Апр-10, 10:27
	>на машине 10.0.10.2 шлюзом стоит 10.0.10.1? > >ACL для NAT покажите? 1. Для чего вам вилан1 2. на какой он фиизический интерфейс приходит?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "cisco 871 перенаправление портов "		+/–
	Сообщение от omiron (??) on 04-Апр-10, 11:47
	>>на машине 10.0.10.2 шлюзом стоит 10.0.10.1? >> >>ACL для NAT покажите? > >1. Для чего вам вилан1 >2. на какой он фиизический интерфейс приходит? машина 10.0.10.2 идет через vlan1, так как на этой циске 1 порт wan f4 и 4 порта vlan c f0-f3. Физически кабель идет к f1 c871#show vlan-switch VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0, Fa1, Fa2, Fa3
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "cisco 871 перенаправление портов "		+/–
	Сообщение от omiron (??) on 04-Апр-10, 11:45
	>на машине 10.0.10.2 шлюзом стоит 10.0.10.1? > >ACL для NAT покажите? на машине 10.0.10.2 шлюзом стоит 10.0.10.1 ранее всю сеть выпускал через PAT ip nat inside source list 1 interface FastEthernet 4 overload ! access-list 1 permit 10.0.10.0 0.0.0.255 но даже при всем этом порт из сети 192 остается filtered Какой еще тогда нужен ACL ?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "cisco 871 перенаправление портов "		+/–
	Сообщение от ShyLion (ok) on 05-Апр-10, 08:02
	>Какой еще тогда нужен ACL ? с первого взгляда все правильно настроено. А на веб-сервисе точно 81 порт доступен? нет ли там фильтрации по соурс адресу? с циски telnet 10.0.10.2 81 проходит? а telnet 10.0.10.2 81 /source-interface fas4 проходит? а если нат выключить совсем? что показывает sho ip nat trans ?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	6. "cisco 871 перенаправление портов "		+/–
	Сообщение от omiron (??) on 05-Апр-10, 08:41
	>>Какой еще тогда нужен ACL ? > >с первого взгляда все правильно настроено. А на веб-сервисе точно 81 порт >доступен? нет ли там фильтрации по соурс адресу? с циски telnet >10.0.10.2 81 >проходит? >а telnet 10.0.10.2 81 /source-interface fas4 >проходит? >а если нат выключить совсем? >что показывает sho ip nat trans ? c871>telnet 10.0.10.2 81 /source-interface fas4 Trying 10.0.10.2, 81 ... % Connection timed out; remote host not responding c871>telnet 10.0.10.2 81 Trying 10.0.10.2, 81 ... Open ^C<html> <head><title>400 Bad Request</title></head> <body bgcolor="white"> <center><h1>400 Bad Request</h1></center> <hr><center>nginx/0.7.65</center> </body> </html> [Connection to 10.0.10.2 closed by foreign host] c871> Как я понимаю через fas4 не хочит внуть проходить. На вебе 81 работает и по нему с циски можно пройти как видно из лога. В 1 сообщении нат правило было только 1 статический на порт, эффект один итото же filtered. Вывод sh ip nat tran читай в первом сообщении в самом конце. в момент выполнения telnet 10.0.10.2 81 /source-interface fas4 c871#sh ip nat tra Pro Inside global Inside local Outside local Outside global tcp 192.168.0.110:81 10.0.10.2:81 --- ---
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	7. "cisco 871 перенаправление портов "		+/–
	Сообщение от ShyLion (ok) on 05-Апр-10, 13:04
	>На вебе 81 работает и по нему с циски можно пройти как >видно из лога. выключи нат совсем и попробуй telnet 10.0.10.2 81 /source-interface fas4 ping 10.0.10.2 source 192.168.0.110
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	8. "cisco 871 перенаправление портов "		+/–
	Сообщение от omiron (??) on 05-Апр-10, 16:10
	>>На вебе 81 работает и по нему с циски можно пройти как >>видно из лога. > >выключи нат совсем и попробуй >telnet 10.0.10.2 81 /source-interface fas4 > >ping 10.0.10.2 source 192.168.0.110 Вот тут то как раз загвоздку и нахожу. С fas4 не пингуется 10.0.10.2 который за vlan, а ip самого vlan пингуется нормально. В чем может быть проблема ? В маршрутах ?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	9. "cisco 871 перенаправление портов "		+/–
	Сообщение от ShyLion (ok) on 05-Апр-10, 16:13
	>[оверквотинг удален] >>telnet 10.0.10.2 81 /source-interface fas4 >> >>ping 10.0.10.2 source 192.168.0.110 > >Вот тут то как раз загвоздку и нахожу. > >С fas4 не пингуется 10.0.10.2 который за vlan, а ip самого vlan >пингуется нормально. > >В чем может быть проблема ? В маршрутах ? в маршруте на самом 10.0.10.2 или фаервол на нем-же.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	10. "cisco 871 перенаправление портов "		+/–
	Сообщение от omiron (??) on 05-Апр-10, 17:28
	>[оверквотинг удален] >>>ping 10.0.10.2 source 192.168.0.110 >> >>Вот тут то как раз загвоздку и нахожу. >> >>С fas4 не пингуется 10.0.10.2 который за vlan, а ip самого vlan >>пингуется нормально. >> >>В чем может быть проблема ? В маршрутах ? > >в маршруте на самом 10.0.10.2 или фаервол на нем-же. хм ... думаю движемся в правильному пути, на циске добавил ip route 10.0.10.0 255.255.255.0 Vlan1 после чего стал пинговаться ping 10.0.10.2 source 192.168.0.110 и даже прошел telnet 10.0.10.2 81 /source-interface fas4 следовательно на самой циске с 192.168.0.110 стал виден 10.0.10.2:81, НО с любой из машины из сети 192.168.0.0 порт 81 filtered. Отключил PAT оставив только правило на 81 порт, выкладываю debug: c871# Apr 30 09:46:41.951: NAT: o: tcp (192.168.0.1, 54497) -> (192.168.0.110, 81) [22290] Apr 30 09:46:41.951: NAT: o: tcp (192.168.0.1, 54497) -> (192.168.0.110, 81) [22290] Apr 30 09:46:41.951: NAT: s=192.168.0.1, d=192.168.0.110->10.0.10.2 [22290] Apr 30 09:46:44.951: NAT: o: tcp (192.168.0.1, 54497) -> (192.168.0.110, 81) [22291] Apr 30 09:46:44.951: NAT: s=192.168.0.1, d=192.168.0.110->10.0.10.2 [22291] Apr 30 09:46:48.215: NAT: expiring 192.168.0.110 (10.0.10.2) tcp 81 (81) Apr 30 09:46:48.215: NAT: expiring 192.168.0.110 (10.0.10.2) tcp 81 (81) Apr 30 09:46:49.239: NAT: expiring 192.168.0.110 (10.0.10.2) tcp 81 (81) Apr 30 09:46:50.951: NAT: o: tcp (192.168.0.1, 54497) -> (192.168.0.110, 81) [22292] Apr 30 09:46:50.951: NAT: s=192.168.0.1, d=192.168.0.110->10.0.10.2 [22292] Apr 30 09:47:02.955: NAT: o: tcp (192.168.0.1, 54497) -> (192.168.0.110, 81) [22293] Apr 30 09:47:02.955: NAT: s=192.168.0.1, d=192.168.0.110->10.0.10.2 [22293] Apr 30 09:47:26.963: NAT: o: tcp (192.168.0.1, 54497) -> (192.168.0.110, 81) [22294] Apr 30 09:47:26.963: NAT: s=192.168.0.1, d=192.168.0.110->10.0.10.2 [22294] Apr 30 09:48:27.043: NAT: expiring 192.168.0.110 (10.0.10.2) tcp 81 (81)
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	12. "cisco 871 перенаправление портов "		+/–
	Сообщение от ShyLion (ok) on 06-Апр-10, 08:28
	>хм ... думаю движемся в правильному пути, на циске добавил >ip route 10.0.10.0 255.255.255.0 Vlan1 >после чего стал пинговаться ping 10.0.10.2 source 192.168.0.110 Это очень странно. Маршрут в эту сеть и так должен был быть, у тебя же интерйес в этой сети.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	11. "cisco 871 перенаправление портов "		+/–
	Сообщение от omiron (??) on 05-Апр-10, 18:04
	спасибо =) всё заработало, прелесть всего была в маршрутах.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору