Специалист по цискам
s
sasa_o
Есть ли здесь люди, которые могут подсказать что-нибудь по настройкам маршрутизаторов cisco, а лучше, которые могут сказать посмотрев конфиг сказать что правильно, а что нет?
s
smol
Гадаю на перфокартах,
снимаю сглаз с EFS-шифрованных файлов,
заговариваю глючные видяшки,
знаком с магией CISCO.
=======================
ДОРОГО!
снимаю сглаз с EFS-шифрованных файлов,
заговариваю глючные видяшки,
знаком с магией CISCO.
=======================
ДОРОГО!
B
BlackDeath[моцк]
я магу
s
sasa_o
я магу
Гадаю на перфокартах,
снимаю сглаз с EFS-шифрованных файлов,
заговариваю глючные видяшки,
знаком с магией CISCO.
=======================
ДОРОГО!
снимаю сглаз с EFS-шифрованных файлов,
заговариваю глючные видяшки,
знаком с магией CISCO.
=======================
ДОРОГО!
Сколько будет стоить помощь по cisco 851?
B
BlackDeath[моцк]
вот есть же ася.. :-) дак нет, будем е1 юзать :-)
s
sasa_o
вот есть же ася.. дак нет, будем е1 юзать
Что-то молчит ася
g
get_maх
конфиг в студию!
s
sasa_o
Кусок конфига
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ETH-WAN$$FW_OUTSIDE$
ip address 87.224.*.* 255.255.255.*
ip access-group 100 in
ip access-group sdm_fastethernet4_out out
ip verify unicast reverse-path
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$
ip address 10.12.4.2 255.255.255.0
ip access-group sdm_vlan1_in in
ip access-group sdm_vlan1_out out
ip inspect SDM_HIGH in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip classless
ip route 0.0.0.0 0.0.0.0 87.224.*.*
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool qs 10.12.4.1 10.12.4.1 netmask 255.255.255.0
ip nat pool qs1 187.225.*.* 187.225.*.* netmask 255.255.255.*
ip nat inside source list 1 interface FastEthernet4 overload
!
ip access-list extended sdm_fastethernet4_out
remark SDM_ACL Category=1
permit icmp any any
permit ip host 87.224.*.* any
permit tcp host 87.224.*.* eq www any eq www
deny ip any any
ip access-list extended sdm_vlan1_in
remark SDM_ACL Category=1
permit udp host 10.12.4.1 any
permit tcp host 10.12.4.12 eq www any eq www
permit ip host 10.12.4.12 any
permit icmp 0.0.0.0 255.255.255.0 any
permit ip host 10.12.4.5 any
permit tcp host 10.12.4.5 eq www any eq www
deny ip any any
ip access-list extended sdm_vlan1_out
remark SDM_ACL Category=1
permit tcp any any
permit icmp any any
permit ip any any
!
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.12.4.0 0.0.0.255
access-list 100 remark auto generated by SDM firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 permit tcp host 187.225.*.* host 87.224.*.* eq 3389 log
access-list 100 permit icmp host 187.225.*.* host 87.224.*.* log
access-list 100 permit udp host 87.224.*.* eq domain host 87.224.*.*
access-list 100 permit udp host 87.224.*.* eq domain host 87.224.*.*
access-list 100 permit icmp any host 87.224.*.* echo-reply
access-list 100 permit icmp any host 87.224.*.* time-exceeded
access-list 100 permit icmp any host 87.224.*.* unreachable
access-list 100 deny ip 10.12.4.0 0.0.0.255 any
access-list 100 deny ip 10.0.0.0 0.255.255.255 any
access-list 100 deny ip 172.16.0.0 0.15.255.255 any
access-list 100 deny ip 192.168.0.0 0.0.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip host 0.0.0.0 any
access-list 100 deny ip any any log
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ETH-WAN$$FW_OUTSIDE$
ip address 87.224.*.* 255.255.255.*
ip access-group 100 in
ip access-group sdm_fastethernet4_out out
ip verify unicast reverse-path
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$
ip address 10.12.4.2 255.255.255.0
ip access-group sdm_vlan1_in in
ip access-group sdm_vlan1_out out
ip inspect SDM_HIGH in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip classless
ip route 0.0.0.0 0.0.0.0 87.224.*.*
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool qs 10.12.4.1 10.12.4.1 netmask 255.255.255.0
ip nat pool qs1 187.225.*.* 187.225.*.* netmask 255.255.255.*
ip nat inside source list 1 interface FastEthernet4 overload
!
ip access-list extended sdm_fastethernet4_out
remark SDM_ACL Category=1
permit icmp any any
permit ip host 87.224.*.* any
permit tcp host 87.224.*.* eq www any eq www
deny ip any any
ip access-list extended sdm_vlan1_in
remark SDM_ACL Category=1
permit udp host 10.12.4.1 any
permit tcp host 10.12.4.12 eq www any eq www
permit ip host 10.12.4.12 any
permit icmp 0.0.0.0 255.255.255.0 any
permit ip host 10.12.4.5 any
permit tcp host 10.12.4.5 eq www any eq www
deny ip any any
ip access-list extended sdm_vlan1_out
remark SDM_ACL Category=1
permit tcp any any
permit icmp any any
permit ip any any
!
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.12.4.0 0.0.0.255
access-list 100 remark auto generated by SDM firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 permit tcp host 187.225.*.* host 87.224.*.* eq 3389 log
access-list 100 permit icmp host 187.225.*.* host 87.224.*.* log
access-list 100 permit udp host 87.224.*.* eq domain host 87.224.*.*
access-list 100 permit udp host 87.224.*.* eq domain host 87.224.*.*
access-list 100 permit icmp any host 87.224.*.* echo-reply
access-list 100 permit icmp any host 87.224.*.* time-exceeded
access-list 100 permit icmp any host 87.224.*.* unreachable
access-list 100 deny ip 10.12.4.0 0.0.0.255 any
access-list 100 deny ip 10.0.0.0 0.255.255.255 any
access-list 100 deny ip 172.16.0.0 0.15.255.255 any
access-list 100 deny ip 192.168.0.0 0.0.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip host 0.0.0.0 any
access-list 100 deny ip any any log
B
BlackDeath[моцк]
а собственно где проброс портов ? или я не вижу че-то ?
s
sasa_o
а собственно где проброс портов ? или я не вижу че-то ?
ну если я правильно понимаю то это делается с помощью NAT
Пардон потерялась строчка
ip nat outside source static tcp 187.225.*.* 3389 10.12.4.1 3389 extendable
Заметил одну странность: после прописывания этой строчки отваливается машина 10.12.4.1 от сети, при попытке пингануть эту машину циска (не пойму, почему именно циска) отвечает "заданая сеть недоступна"
ничего не понимаю, что происходит?
g
get_maх
Ну с натом вроде в порядке.
можно попробовать строчку
ip nat inside source list 1 interface FastEthernet4 overload
заменить на
ip nat inside source list 1 pool qs1
уберите из конфига
ip virtual-reassembly
ни к чему он
пингануть откуда?
у вас извне
access-list 100 permit icmp host 187.225.*.* host 87.224.*.* log
стоящий на вход из вне пинги пустит только из 187.225.*.* идущие в 187.225.*.*
изнутри:
permit icmp 0.0.0.0 255.255.255.0 any
как это так ваш SDM придумал непонятно.
чтоб разрешить пинги изнутри нужна команда
permit icmp 10.12.4.0 0.0.0.255 any
еслиб вы еще объяснили что не так и что требуется, то было бы проще.
287-309-665 если что.
можно попробовать строчку
ip nat inside source list 1 interface FastEthernet4 overload
заменить на
ip nat inside source list 1 pool qs1
уберите из конфига
ip virtual-reassembly
ни к чему он
при попытке пингануть эту машину
пингануть откуда?
у вас извне
access-list 100 permit icmp host 187.225.*.* host 87.224.*.* log
стоящий на вход из вне пинги пустит только из 187.225.*.* идущие в 187.225.*.*
изнутри:
permit icmp 0.0.0.0 255.255.255.0 any
как это так ваш SDM придумал непонятно.
чтоб разрешить пинги изнутри нужна команда
permit icmp 10.12.4.0 0.0.0.255 any
которые могут сказать посмотрев
конфиг сказать что правильно, а что нет?
еслиб вы еще объяснили что не так и что требуется, то было бы проще.
287-309-665 если что.
B
BlackDeath[моцк]
блин, неуспел :-)
s
sasa_o
Прошу прощения за задержку с ответом, вынужден был немного отойти от дел...
Пингануть изнутри, изнутри пинги ходили, но все равно поменял permit icmp 0.0.0.0 255.255.255.0 any на permit icmp 10.12.4.0 0.0.0.255 any по вашему совету.
Проблема осталась, когда прописываем на роутере строку ip nat outside source static tcp 187.225.*.* 3389 10.12.4.1 3389 extendable машина 10.12.4.1 отваливается от сети.
пингануть откуда?
у вас извне
access-list 100 permit icmp host 187.225.*.* host 87.224.*.* log
стоящий на вход из вне пинги пустит только из 187.225.*.* идущие в 187.225.*.*
изнутри:
permit icmp 0.0.0.0 255.255.255.0 any
как это так ваш SDM придумал непонятно.
чтоб разрешить пинги изнутри нужна команда
permit icmp 10.12.4.0 0.0.0.255 any
у вас извне
access-list 100 permit icmp host 187.225.*.* host 87.224.*.* log
стоящий на вход из вне пинги пустит только из 187.225.*.* идущие в 187.225.*.*
изнутри:
permit icmp 0.0.0.0 255.255.255.0 any
как это так ваш SDM придумал непонятно.
чтоб разрешить пинги изнутри нужна команда
permit icmp 10.12.4.0 0.0.0.255 any
Пингануть изнутри, изнутри пинги ходили, но все равно поменял permit icmp 0.0.0.0 255.255.255.0 any на permit icmp 10.12.4.0 0.0.0.255 any по вашему совету.
Проблема осталась, когда прописываем на роутере строку ip nat outside source static tcp 187.225.*.* 3389 10.12.4.1 3389 extendable машина 10.12.4.1 отваливается от сети.
s
sasa_o
еслиб вы еще объяснили что не так и что требуется, то было бы проще.
Хотелось бы настроить проброс порта и прикрыть дыры из вне, если такие имеются в конфигурации.
g
get_maх
ip nat inside source static tcp 187.225.*.* 3389 10.12.4.1 3389 extendable машина 10.12.4.1
так должон заработать статический PAT
так должон заработать статический PAT
Авторизуйтесь, чтобы принять участие в дискуссии.