Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 11:27



Ответить на тему  [ Сообщений: 3 ] 
Cisco 881 проброс портов 
Автор Сообщение

Зарегистрирован: 09 июл 2012, 15:22
Сообщения: 27
Добрый день!

Много лет назад ставил маршрутизатор между двумя офисами - отдавать инет через нас, каюсь, тогда тупо воспользовался CCP для настройки. Но потом задача изменилась, железка стояла удаленно и тупо руками поправил, не переписывая заново (работает же). Инет у той конторы появился свой, а в задачу вошло проброс портов. В основном это были веб-сервисы. На одном сервере было несколько веб-служб с разными портами. Физический сервер сменился на виртуальный, потом появился еще один.. В общем все работало, пока один из виртуальников не пришлось заменить (по причине замены платформы). На днях необходимо было сменить сервера и соответственно изменить адрес проброса портов. Но почему-то перестало работать. Старые пробросы на первый виртуальник работают, а вот на новый нет. Попытался вернуть старый конфиг на старый адрес - тоже не работает... голову сломал, где затык случился.
10.13.73.0/24 - наша сетка, 10.13.73.18 - адрес циски, 192.168.0.0/16 - адрес "партеров", 192.168.20.150 - адрес циски. 10.13.73.25 - первый сервер, 10.13.73.29 - второй.
Где напортачил? Спасибо.

Часть конфига:

version 15.0
!
ip port-map user-protocol--2 port tcp 8080
ip port-map user-protocol--3 port tcp 82
ip port-map user-protocol--1 port tcp 81
ip port-map user-protocol--4 port tcp 85
!
class-map type inspect match-all sdm-nat-user-protocol--4-1
match access-group 102
match protocol user-protocol--4
class-map type inspect match-all sdm-nat-user-protocol--3-1
match access-group 102
match protocol user-protocol--3
class-map type inspect match-all sdm-nat-http-1
match access-group 102
match protocol http
class-map type inspect match-all sdm-nat-user-protocol--2-1
match protocol user-protocol--2
match access-group 102
class-map type inspect match-all sdm-nat-user-protocol--1-1
match access-group 102
match protocol user-protocol--1
class-map type inspect match-any ccp-cls-insp-traffic
match protocol ftp
match protocol https
match protocol icmp
match protocol imap
match protocol pop3
match protocol netshow
match protocol shell
match protocol rtsp
match protocol smtp
match protocol sql-net
match protocol sqlsrv
match protocol lotusmtap
match protocol lotusnote
match protocol mysql
match protocol http
class-map type inspect match-all ccp-insp-traffic
match class-map ccp-cls-insp-traffic
class-map type inspect match-any ccp-cls-icmp-access
match protocol icmp
class-map type inspect match-all ccp-invalid-src
match access-group 101
class-map type inspect match-all ccp-icmp-access
match class-map ccp-cls-icmp-access
class-map type inspect match-all ccp-protocol-http
match protocol http
class-map type inspect match-all sdm-nat-ftp-1
match access-group 102
match protocol ftp
!
!
policy-map type inspect ccp-permit-icmpreply
class type inspect ccp-icmp-access
inspect
class class-default
pass
policy-map type inspect sdm-pol-NATOutsideToInside-1
class type inspect sdm-nat-ftp-1
inspect
class type inspect sdm-nat-http-1
inspect
class type inspect sdm-nat-user-protocol--1-1
inspect
class type inspect sdm-nat-user-protocol--2-1
inspect
class type inspect sdm-nat-user-protocol--3-1
inspect
class type inspect sdm-nat-user-protocol--4-1
inspect
class class-default
drop
policy-map type inspect ccp-inspect
class type inspect ccp-invalid-src
class type inspect ccp-protocol-http
inspect
class type inspect ccp-insp-traffic
inspect
class class-default
drop
policy-map type inspect ccp-permit
class class-default
drop
!
zone security out-zone
zone security in-zone
zone-pair security ccp-zp-self-out source self destination out-zone
service-policy type inspect ccp-permit-icmpreply
zone-pair security sdm-zp-NATOutsideToInside-1 source out-zone destination in-zone
service-policy type inspect sdm-pol-NATOutsideToInside-1
zone-pair security ccp-zp-in-out source in-zone destination out-zone
service-policy type inspect ccp-inspect
zone-pair security ccp-zp-out-self source out-zone destination self
service-policy type inspect ccp-permit
!
!
!
!
!
!
!
interface FastEthernet0
no cdp enable
!
interface FastEthernet1
no cdp enable
!
interface FastEthernet2
!
interface FastEthernet3
switchport trunk allowed vlan 1,18,205,1002-1005
switchport mode trunk
!
interface FastEthernet4
ip address 192.168.20.150 255.255.224.0
ip flow ingress
ip nat outside
ip virtual-reassembly
zone-member security out-zone
duplex auto
speed auto
ntp disable
no cdp enable
!
interface Vlan1
no ip address
shutdown
!
interface Vlan18
description LAN
ip address 10.13.73.18 255.255.255.0
ip flow ingress
ip nat inside
ip virtual-reassembly
zone-member security in-zone
ntp disable
!
interface Vlan205
ip address 192.168.205.18 255.255.255.0
ip access-group 15 in
ip access-group 15 out
!
no ip forward-protocol udp netbios-ns
no ip forward-protocol udp netbios-dgm
no ip http server
ip http authentication local
no ip http secure-server
ip flow-export source Vlan205
ip flow-export version 5
ip flow-export destination 192.168.205.145 9996
!
ip nat inside source list 100 interface FastEthernet4 overload
ip nat inside source static tcp 10.13.73.25 20 192.168.20.150 20 extendable
ip nat inside source static tcp 10.13.73.25 21 192.168.20.150 21 extendable
ip nat inside source static tcp 10.13.73.25 25 192.168.20.150 25 extendable
ip nat inside source static tcp 10.13.73.25 80 192.168.20.150 80 extendable
ip nat inside source static tcp 10.13.73.25 81 192.168.20.150 81 extendable
ip nat inside source static tcp 10.13.73.29 80 192.168.20.150 85 extendable
ip nat inside source static tcp 10.13.73.25 110 192.168.20.150 110 extendable
ip nat inside source static tcp 10.13.73.25 143 192.168.20.150 143 extendable
ip nat inside source static tcp 10.13.73.25 443 192.168.20.150 443 extendable
ip nat inside source static tcp 10.13.73.25 1352 192.168.20.150 1352 extendable
ip nat inside source static tcp 10.13.73.25 8080 192.168.20.150 8080 extendable
ip route 0.0.0.0 0.0.0.0 192.168.20.9
!
!
!
logging trap debugging
logging origin-id hostname
logging source-interface Vlan205
logging 192.168.205.145
access-list 15 permit 192.168.205.0 0.0.0.255
access-list 15 permit 10.13.73.0 0.0.0.255
access-list 15 deny any log
access-list 96 permit 10.13.73.143
access-list 96 permit 10.13.73.12
access-list 100 remark CCP_ACL Category=2
access-list 100 permit ip 10.13.73.0 0.0.0.255 any
access-list 101 remark CCP_ACL Category=128
access-list 101 permit ip host 255.255.255.255 any
access-list 101 permit ip 127.0.0.0 0.255.255.255 any
access-list 101 permit ip 192.168.0.0 0.0.31.255 any
access-list 102 remark CCP_ACL Category=0
access-list 102 permit ip any host 10.13.73.25
access-list 102 permit ip any host 10.13.73.29
access-list 103 remark CCP_ACL Category=0
access-list 103 permit ip any host 10.13.73.3 log
no cdp run
!
!
!
!


06 дек 2018, 08:34
Профиль

Зарегистрирован: 10 дек 2018, 16:42
Сообщения: 5
добрый день.
возможно уже неактуально, т.к. вижу - сообщение с 6 декабря висит.
у всех сетевых устройств есть такое понятие как таблица трансляций.
В цисках можно посмотреть ее примерно так:
sh ip nat translations
Так вот, удаление правил ната, не всегда убирает запись из этой таблицы.
Если говорить короче, то перезапуск циски таблицу сбросит точно.
Но я думаю можно и вручную чистить, думаю нагуглить самостоятельно труда не составит.
Пробуйте.


13 дек 2018, 12:16
Профиль

Зарегистрирован: 09 июл 2012, 15:22
Сообщения: 27
opt1k писал(а):
добрый день.
возможно уже неактуально, т.к. вижу - сообщение с 6 декабря висит.

Спасибо, уже не актуально. Сам нашел через пару часов где затык - на виртуалке слетел шлюз (скорее всего после замены адреса). Как обычно причина более чем банальная и всегда перед глазами.


13 дек 2018, 16:29
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 3 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 35


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB