|
|
|
|
Страница 1 из 1
|
[ Сообщений: 3 ] |
|
Автор |
Сообщение |
Michail_M
Зарегистрирован: 09 июл 2012, 15:22 Сообщения: 27
|
Добрый день!
Много лет назад ставил маршрутизатор между двумя офисами - отдавать инет через нас, каюсь, тогда тупо воспользовался CCP для настройки. Но потом задача изменилась, железка стояла удаленно и тупо руками поправил, не переписывая заново (работает же). Инет у той конторы появился свой, а в задачу вошло проброс портов. В основном это были веб-сервисы. На одном сервере было несколько веб-служб с разными портами. Физический сервер сменился на виртуальный, потом появился еще один.. В общем все работало, пока один из виртуальников не пришлось заменить (по причине замены платформы). На днях необходимо было сменить сервера и соответственно изменить адрес проброса портов. Но почему-то перестало работать. Старые пробросы на первый виртуальник работают, а вот на новый нет. Попытался вернуть старый конфиг на старый адрес - тоже не работает... голову сломал, где затык случился. 10.13.73.0/24 - наша сетка, 10.13.73.18 - адрес циски, 192.168.0.0/16 - адрес "партеров", 192.168.20.150 - адрес циски. 10.13.73.25 - первый сервер, 10.13.73.29 - второй. Где напортачил? Спасибо.
Часть конфига:
version 15.0 ! ip port-map user-protocol--2 port tcp 8080 ip port-map user-protocol--3 port tcp 82 ip port-map user-protocol--1 port tcp 81 ip port-map user-protocol--4 port tcp 85 ! class-map type inspect match-all sdm-nat-user-protocol--4-1 match access-group 102 match protocol user-protocol--4 class-map type inspect match-all sdm-nat-user-protocol--3-1 match access-group 102 match protocol user-protocol--3 class-map type inspect match-all sdm-nat-http-1 match access-group 102 match protocol http class-map type inspect match-all sdm-nat-user-protocol--2-1 match protocol user-protocol--2 match access-group 102 class-map type inspect match-all sdm-nat-user-protocol--1-1 match access-group 102 match protocol user-protocol--1 class-map type inspect match-any ccp-cls-insp-traffic match protocol ftp match protocol https match protocol icmp match protocol imap match protocol pop3 match protocol netshow match protocol shell match protocol rtsp match protocol smtp match protocol sql-net match protocol sqlsrv match protocol lotusmtap match protocol lotusnote match protocol mysql match protocol http class-map type inspect match-all ccp-insp-traffic match class-map ccp-cls-insp-traffic class-map type inspect match-any ccp-cls-icmp-access match protocol icmp class-map type inspect match-all ccp-invalid-src match access-group 101 class-map type inspect match-all ccp-icmp-access match class-map ccp-cls-icmp-access class-map type inspect match-all ccp-protocol-http match protocol http class-map type inspect match-all sdm-nat-ftp-1 match access-group 102 match protocol ftp ! ! policy-map type inspect ccp-permit-icmpreply class type inspect ccp-icmp-access inspect class class-default pass policy-map type inspect sdm-pol-NATOutsideToInside-1 class type inspect sdm-nat-ftp-1 inspect class type inspect sdm-nat-http-1 inspect class type inspect sdm-nat-user-protocol--1-1 inspect class type inspect sdm-nat-user-protocol--2-1 inspect class type inspect sdm-nat-user-protocol--3-1 inspect class type inspect sdm-nat-user-protocol--4-1 inspect class class-default drop policy-map type inspect ccp-inspect class type inspect ccp-invalid-src class type inspect ccp-protocol-http inspect class type inspect ccp-insp-traffic inspect class class-default drop policy-map type inspect ccp-permit class class-default drop ! zone security out-zone zone security in-zone zone-pair security ccp-zp-self-out source self destination out-zone service-policy type inspect ccp-permit-icmpreply zone-pair security sdm-zp-NATOutsideToInside-1 source out-zone destination in-zone service-policy type inspect sdm-pol-NATOutsideToInside-1 zone-pair security ccp-zp-in-out source in-zone destination out-zone service-policy type inspect ccp-inspect zone-pair security ccp-zp-out-self source out-zone destination self service-policy type inspect ccp-permit ! ! ! ! ! ! ! interface FastEthernet0 no cdp enable ! interface FastEthernet1 no cdp enable ! interface FastEthernet2 ! interface FastEthernet3 switchport trunk allowed vlan 1,18,205,1002-1005 switchport mode trunk ! interface FastEthernet4 ip address 192.168.20.150 255.255.224.0 ip flow ingress ip nat outside ip virtual-reassembly zone-member security out-zone duplex auto speed auto ntp disable no cdp enable ! interface Vlan1 no ip address shutdown ! interface Vlan18 description LAN ip address 10.13.73.18 255.255.255.0 ip flow ingress ip nat inside ip virtual-reassembly zone-member security in-zone ntp disable ! interface Vlan205 ip address 192.168.205.18 255.255.255.0 ip access-group 15 in ip access-group 15 out ! no ip forward-protocol udp netbios-ns no ip forward-protocol udp netbios-dgm no ip http server ip http authentication local no ip http secure-server ip flow-export source Vlan205 ip flow-export version 5 ip flow-export destination 192.168.205.145 9996 ! ip nat inside source list 100 interface FastEthernet4 overload ip nat inside source static tcp 10.13.73.25 20 192.168.20.150 20 extendable ip nat inside source static tcp 10.13.73.25 21 192.168.20.150 21 extendable ip nat inside source static tcp 10.13.73.25 25 192.168.20.150 25 extendable ip nat inside source static tcp 10.13.73.25 80 192.168.20.150 80 extendable ip nat inside source static tcp 10.13.73.25 81 192.168.20.150 81 extendable ip nat inside source static tcp 10.13.73.29 80 192.168.20.150 85 extendable ip nat inside source static tcp 10.13.73.25 110 192.168.20.150 110 extendable ip nat inside source static tcp 10.13.73.25 143 192.168.20.150 143 extendable ip nat inside source static tcp 10.13.73.25 443 192.168.20.150 443 extendable ip nat inside source static tcp 10.13.73.25 1352 192.168.20.150 1352 extendable ip nat inside source static tcp 10.13.73.25 8080 192.168.20.150 8080 extendable ip route 0.0.0.0 0.0.0.0 192.168.20.9 ! ! ! logging trap debugging logging origin-id hostname logging source-interface Vlan205 logging 192.168.205.145 access-list 15 permit 192.168.205.0 0.0.0.255 access-list 15 permit 10.13.73.0 0.0.0.255 access-list 15 deny any log access-list 96 permit 10.13.73.143 access-list 96 permit 10.13.73.12 access-list 100 remark CCP_ACL Category=2 access-list 100 permit ip 10.13.73.0 0.0.0.255 any access-list 101 remark CCP_ACL Category=128 access-list 101 permit ip host 255.255.255.255 any access-list 101 permit ip 127.0.0.0 0.255.255.255 any access-list 101 permit ip 192.168.0.0 0.0.31.255 any access-list 102 remark CCP_ACL Category=0 access-list 102 permit ip any host 10.13.73.25 access-list 102 permit ip any host 10.13.73.29 access-list 103 remark CCP_ACL Category=0 access-list 103 permit ip any host 10.13.73.3 log no cdp run ! ! ! !
|
06 дек 2018, 08:34 |
|
|
opt1k
Зарегистрирован: 10 дек 2018, 16:42 Сообщения: 5
|
добрый день. возможно уже неактуально, т.к. вижу - сообщение с 6 декабря висит. у всех сетевых устройств есть такое понятие как таблица трансляций. В цисках можно посмотреть ее примерно так: sh ip nat translations Так вот, удаление правил ната, не всегда убирает запись из этой таблицы. Если говорить короче, то перезапуск циски таблицу сбросит точно. Но я думаю можно и вручную чистить, думаю нагуглить самостоятельно труда не составит. Пробуйте.
|
13 дек 2018, 12:16 |
|
|
Michail_M
Зарегистрирован: 09 июл 2012, 15:22 Сообщения: 27
|
opt1k писал(а): добрый день. возможно уже неактуально, т.к. вижу - сообщение с 6 декабря висит.
Спасибо, уже не актуально. Сам нашел через пару часов где затык - на виртуалке слетел шлюз (скорее всего после замены адреса). Как обычно причина более чем банальная и всегда перед глазами.
|
13 дек 2018, 16:29 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 3 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 35 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|
|