Подскажите по NAT cisco isr

[Ross_ua 3]

Совсем запутался, нужна помощь

 

На WAN есть /29 подсеть

ip address 82.x.x.5 255.255.255.248 secondary

ip address 82.x.x.4 255.255.255.248 secondary

ip address 82.x.x.3 255.255.255.248 secondary

ip address 82.x.x.2 255.255.255.248 secondary

ip address 82.x.x.1 255.255.255.248

 

В локалку проброшен 25 порт к почтовому серверу от одного из внешних ИП

 

ip nat inside source static tcp 192.168.10.7 25 82.x.x.3 25 extendable

 

Так же прописан NAT наружу

 

ip access-list extended NAT

 permit ip host 192.168.10.7 any

 

ip nat inside source list NAT interface FastEthernet0/0 overload

 

Вопрос в том, как мне правильно направить 25 порт, что б ходил обратно только через 82.X.X.3, а не 82.x.x.1

?

[alex-netcase 13]

Если Вы все правильно прописали, то будет работать... То что Вы называете: "ходил обратно только через 82.X.X.3, а не 82.x.x.1"

Не забыли ли Вы на внутреннем и внешнем интерфейсах описать что они учавствуют в НАТе?

ip nat inside и ip nat outside соответсвенно?

 

P.S. А зачем Вы мучаетесь с 25-ым портом... Просто ip в ip статикой протранслируйте весь да и все.

Відредаговано 2013-03-15 19:37:48 alex-netcase

[Ross_ua 3]

Если Вы все правильно прописали, то будет работать... То что Вы называете: "ходил обратно только через 82.X.X.3, а не 82.x.x.1"

Не забыли ли Вы на внутреннем и внешнем интерфейсах описать что они учавствуют в НАТе?

ip nat inside и ip nat outside соответсвенно?

 

То что я называю ходить обратно имелось ввиду, что б локальный почтовый сервер шёл через NAT наружу, но через определённый внешний ИП из /29 сети на WANe

ip nat inside и outside естественно прописано, так как сейчас трафик идёт через NAT, но только через ип 82.х.х.1

[Ross_ua 3]

P.S. А зачем Вы мучаетесь с 25-ым портом... Просто ip в ip статикой протранслируйте весь да и все.

 

Да, я так думал сделать, но как-то не люблю выставлять наружу голый сервер, даже если транспортный

[max_m 92]

Я не Cisco вод но на микроте это выглядит так, "ip firewall nat add action=src-nat chain=srcnat out-interface=ether2 src-address=192.168.10.7 to-addresses=82.x.x.3" это как пример, в Cisco должно быть примерно так же... Единственное что еще должно быть, если у Вас к примеру три разных канала то IP 192.168.10.7 должен быть закреплен за каналом на котором прописан IP 82.x.x.3.......

[alex-netcase 13]

ip nat inside source list NAT interface FastEthernet0/0 overload 

Вот тут поменяйте "interface FastEthernet0/0" на нужный Вам айпи (82.х.х.3)

Потму что сейчас Вы транслируете "в интерфейс" а машрутизатор естественно подставляет основоной айпи (82.x.x.1)  а не алиас

 

Вообще применяют трансляцию "в интерфейс" если у Вас несколько аплинков и в зависимости от маршрутизации чтобы натить динамически в адрес того или иного аплинка.

[Ross_ua 3]

ip nat inside source list NAT interface FastEthernet0/0 overload 

Вот тут поменяйте "interface FastEthernet0/0" на нужный Вам айпи (82.х.х.3)

Потму что сейчас Вы транслируете "в интерфейс" а машрутизатор естественно подставляет основоной айпи (82.x.x.1)  а не алиас

 

Я так пробовал...

Циска не понимает что я хочу этим сказать ip nat inside source list NAT 82.x.x.3

после указания source list я могу прописать только interface или pool

 

Возможно нужно создать пул адресов и как-то так:  ip nat inside source list NAT pool ... ?

[alex-netcase 13]

Тю..  Конечно так не захочет. 

Короче:

ip nat inside  - на LAN_INT

ip nat outside -  на WAN_INT 

ip nat inside source static 192.168.10.7 25 82.x.x.3

Все остальное удалить.

Таким образом Вы получите статический нат "адрес в адрес", что позволит всем портам и протоколам работать в "обе стороны"

 

Для проверки:

sh ip nat transl....

[Ross_ua 3]

Тю..  Конечно так не захочет. 

Короче:

ip nat inside  - на LAN_INT

ip nat outside -  на WAN_INT 

ip nat inside source static 192.168.10.7 25 82.x.x.3

Все остальное удалить.

Таким образом Вы получите статический нат "адрес в адрес", что позволит всем портам и протоколам работать в "обе стороны"

 

Про этот вариант я в курсе, но не подходит, я писал чуть выше почему

 

Попробую уточнить свой вопрос:

как один из локальных IP с определённым портом вывести наружу через определённый IP из диапазона на WANe ?

если простыми словами, как вот это -  ip nat inside source static tcp 192.168.10.7 25 82.x.x.3 25 extendable 

выпустить обратно по тому же пути?

[max_m 92]

Короче если я правельно понял то Вам надо это http://www.opennet.ru/base/cisco/cisco_nat2.txt.html внизу прочитать про Static NAT это то что Вам надо или тут http://habrahabr.ru/post/108931/  в Вашем случае читать с фразы (И в таких случаях нам на помощь приходит static NAT) 

[alex-netcase 13]

Проблема глубже.

Вам нужно настроить 2 трансляции:

1. Из мира к Вашему серверу: local_port=25, ext_port=ANY

2. От Вашего сервера наружу: local_port=ANY, ext_port=25

 

В одну сторону НАТ Вы кое как настроили (из мира к Вам по 25-му порту уже ходят), теперь вы пытаетесь соединения которые инициирует Ваш сервер в мир с dst_port=25 занатить в нужный IP.

 

С лабораторной точки зрения задача имеет смысл,  с практической нет. Для того и нужны списки доступа (ACL) чтобы выставлять те или иные ограничения. В чем будет разница если Вы настроите статический НАТ и на входящем интерфейсе прицепите на вход ACL который одним правилом разрешит только коннекты на 25-й порт к Вашему серверу? Наверняка и другие пожелания по доступности Ваших рессурсов из Мира у Вас в последствии могут возникнуть - туда и допишите..

 

Другое дело, небыло бы возможности прикрутить ACL, тогда уже нужно прибегнуть к инструментам NAT в качестве фаэрволла.  

 

Если, все же, этот вопрос принципиальный, то я могу ЗАВТРА Вам подсказать ка правильно настроить.. Выходные как никак.

Відредаговано 2013-03-17 09:17:06 alex-netcase

[Fanat_non_root 88]

В кошке для этого дела роут мэпы есть.

[Ross_ua 3]

 

С лабораторной точки зрения задача имеет смысл,  с практической нет. Для того и нужны списки доступа (ACL) чтобы выставлять те или иные ограничения. В чем будет разница если Вы настроите статический НАТ и на входящем интерфейсе прицепите на вход ACL который одним правилом разрешит только коннекты на 25-й порт к Вашему серверу? Наверняка и другие пожелания по доступности Ваших рессурсов из Мира у Вас в последствии могут возникнуть - туда и допишите..

 

Другое дело, небыло бы возможности прикрутить ACL, тогда уже нужно прибегнуть к инструментам NAT в качестве фаэрволла.  

 

Ага, так вот оно, что!

Естественно на внешнем интерфейсе у меня есть ACL, я его использую в качестве фаервола, для почтового сервера он звучи так:

 

interface FastEthernet0/0

 ip access-group Firewall in

 

ip access-list extended Firewall

 permit tcp any host 82.x.x.3 eq smtp

 

Правильно ли я понимаю, если я сделаю статический НАТ IP в IP - ip nat inside source static 192.168.10.7 25 82.x.x.3

то ACL будет отрабатываться?

Відредаговано 2013-03-17 11:42:50 Ross_ua