Автор |
Сообщение |
Geralt
Зарегистрирован: 19 фев 2018, 11:01 Сообщения: 21
|
Добрый день всем обитателям форума.
Прошу помощи в вопросе проброса пула портов, потому что гугл, к сожалению не помог.
Создан ACL формата:
ip access-list extended aclSIP permit udp any range 10000 39999 host 10.3.5.200 range 10000 39999 permit tcp any range 10000 39999 host 10.3.5.200 range 10000 39999
Создан ip nat pool
ip nat pool SIP 10.3.5.200 10.3.5.200 netmask 255.255.255.0 type rotary
Прописано в nat
ip nat inside destination list aclSIP pool SIP
Синтаксис найден на форуме циско (да и не только), но, не жизнеспособен. Прошу помощи
|
17 май 2018, 05:56 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
вы транслируете свой серый айпи в свой же серый айпи?
|
17 май 2018, 06:13 |
|
|
Geralt
Зарегистрирован: 19 фев 2018, 11:01 Сообщения: 21
|
Да, получается так. Этот nat pool создан только для destination
|
17 май 2018, 06:18 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
то есть вам пофиг, что к вам стучатся на внешний айпи, но в данной конструкции он не используется?
|
17 май 2018, 07:22 |
|
|
Geralt
Зарегистрирован: 19 фев 2018, 11:01 Сообщения: 21
|
Это пул локальных адресов, подлежащих трансляции. Если мы все еще говорим про ip nat pool
|
17 май 2018, 07:31 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
вы пробрасываете из интернета в свою локальную сеть? Если это так, то где вы натите из внешнего адреса в свой локальный адрес сервера?
|
17 май 2018, 07:33 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
хотя не совсем понятно зачем вы выбрали именно такой вид nat'а, а не обычный ip nat inside source
|
17 май 2018, 07:35 |
|
|
Geralt
Зарегистрирован: 19 фев 2018, 11:01 Сообщения: 21
|
обычный ip nat inside source static на 4000 портов несколько напряжно прописывать, хотя да, это бесспорно 100% рабочий вариант.
Касательно где именно натится - хороший вопрос. Я вот и не могу вкурить, как весь пул натить разом.
Нашел вариант через portmap
ip nat portmap VOICE appl udp-rtp startport 36480 size 3520
ip nat inside source list aclSIP interface FastEthernet0/0/1 overload portmap VOICE
Но не понимаю, как он найдет мой астериск
|
17 май 2018, 07:51 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
Если вы хотите свой вариант использовать, то наверное надо так Код: ip access-list extended aclSIP permit udp any host внешний-ип range 10000 39999 permit tcp any host внешний-ип range 10000 39999
|
17 май 2018, 08:58 |
|
|
Geralt
Зарегистрирован: 19 фев 2018, 11:01 Сообщения: 21
|
Так, картина в nmap поменялась. Пойду дальше смотреть. Спасибо за указание кривости моего синтаксиса.
Последний раз редактировалось Geralt 17 май 2018, 09:20, всего редактировалось 1 раз.
|
17 май 2018, 09:15 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
тогда показывайте конфиг полный. Вы в портах уверены?
|
17 май 2018, 09:19 |
|
|
Geralt
Зарегистрирован: 19 фев 2018, 11:01 Сообщения: 21
|
В портах уверен, насколько возможно. Астериск настраивают интеграторы, так что смену картины в nmap с closed на filtered я воспринимаю как фильтрацию самого астериска.
|
17 май 2018, 09:34 |
|
|