|
Port Forwarding на Cisco, но "наоборот" Имеем Cisco с белым внешним интерфейсом (EXT-IP) и локальным интерфейсом (LAN-IP). Имеем удалённый терминальный сервер в интернете с белым IP (SERVER-IP). Задача - перебросить все запросы, идущие на эту кошку на порт 3389 (LAN-IP:3389) на сервер в интернете (SERVER-IP:3398). Как снаружи внуть пробросить - понятно, но тут наоборот. |
вот с точностью до наоборот и делайте, никаких сложностей не вижу |
2-gloomymen > Не прокатит. Удалённый сервер увидит подменённый серый адрес, а это будет EXT-IP и на него зашлёт пакет. Как думаете, как далеко его пошлёт кошка при попытке соединиться с ней по 3389? |
если не учитывать эти соединения, то куда-нибудь не по адресу, но вы же все правильно сделаете, нет? |
NAT не? |
5-BigHarry > Были мысли на этот счёт. В этом случае, ИМХО, нужен двойной NAT. Нарыл вот это [url]http://www.lissyara.su/articles/cisco/double_nat/[/url], но не получилось чего-то. Затык произошёл на второй строчке трансляции. Не понимаю, что указать. |
никада не страдал таким, видимо надо в две стороны... делать(inside\outside), тут неплохо раскурено [url]http://www.lissyara.su/articles/cisco/double_nat/[/url] только там порт получится наверно указать только когда outside, клиент же не обязательно с 3389 будет лезть, поэтому обратно когда пойдет похоже надо будет все с удаленого швырять на клиента...хотя могу ошибаться, и у ip nat outside есть add route(возможно помогает отграблей кот там расписаны), сильно не вникал вобщем |
:) апоздаль |
какой в звдницу двойной nat? во входящем пакете подменяется целевой адрес, он переходит из локальной категории в транзитную, далее следует в обычный nat, [u]ответный[/u] син будет не входящим, а транзитным (в соответствии с философией stateful), и будет пропущен в нужном направлении как related, если таковое правило присутствует и на этом все |
а подменить источник ? клиент то кидал не просто на внешку, он кидал ваще на другой ип, там надо и сорс и дест менять |
хотя меня всегда убивало это цисковское inside\outside local\global, мож че не догоняю.... |
блть, я же все расписал, подмена dst единственное нужное изменение, src подменяется уже нативным путем |
[quote]ИМХО, нужен двойной NAT.[/quote] Для RDP никакого двойного ната не надо, поверь мне, я через кошака спокойно по RDP работаю, даже ситуация чуть сложнее чем у тебя - сервера в ДМЗ, но все это фигня и все работает как надо. |
Можно сделать так. Работает. ip nat outside source static tcp искомый_сервер 3389 любой_внешний_адрес 3389 Где в качестве любой_внешний_адрес можно указать что угодно, лишь бы не подпадало под подсеть интерфейса, помеченного как inside. |
Вдогонку. Единственное, в чем минус, так это в том, что клиент должен соединяться именно с тем, что указано в любой_внешний_адрес. |
Сколько эмоций ) Так а как сделать редирект как в теме. ( не теория только)? З.ы. я не стебусь , просто не знаю. |
16-701054 > Я же в 14-15 написал, как. |
Дык в теме как раз на адрес ифейса который инсайд как я понял |
18-701054 > В общем-то да. Но в моём случае пока прокатит и так, как я написал, но хотелось бы, конечно так, как в (0). |
И ещё интересно если полиси роутингом пнуть наружу наты сработают? |
1-Damnien >я слегка не понимаю что вы хотите итого получить, но если вы хотите что бы при обращении с LAN стороны по порту 3389 перебрасывало на белый адрес сервера (тут могут быть 2 варианта сервер в одной сети с кошкой. или какой то далекий сервер.) если первый вариант то вам нужно нарисовать pbr и повесить на LAN интерфейс. уйдете от ната. с маршрутизируете серую и белую сеть. если второй вариант то погугглите на тематику nat & route-map. |
| Текущее время: 20:30. Часовой пояс GMT +3. |