| 0
- 06.01.2012 - 11:36
|
Имеем Cisco с белым внешним интерфейсом (EXT-IP) и локальным интерфейсом (LAN-IP). Имеем удалённый терминальный сервер в интернете с белым IP (SERVER-IP). Задача - перебросить все запросы, идущие на эту кошку на порт 3389 (LAN-IP:3389) на сервер в интернете (SERVER-IP:3398). Как снаружи внуть пробросить - понятно, но тут наоборот.
    | | |
| 1
- 06.01.2012 - 12:00
| вот с точностью до наоборот и делайте, никаких сложностей не вижу | | |
| 2
- 06.01.2012 - 12:05
| 2-gloomymen > Не прокатит. Удалённый сервер увидит подменённый серый адрес, а это будет EXT-IP и на него зашлёт пакет. Как думаете, как далеко его пошлёт кошка при попытке соединиться с ней по 3389? | | |
| 3
- 06.01.2012 - 12:10
| если не учитывать эти соединения, то куда-нибудь не по адресу, но вы же все правильно сделаете, нет? | | |
| 4
- 06.01.2012 - 14:01
| NAT не? | | |
| 5
- 06.01.2012 - 14:46
| 5-BigHarry > Были мысли на этот счёт. В этом случае, ИМХО, нужен двойной NAT. Нарыл вот это http://www.lissyara.su/articles/cisco/double_nat/, но не получилось чего-то. Затык произошёл на второй строчке трансляции. Не понимаю, что указать. | | |
| 6
- 06.01.2012 - 14:48
|
никада не страдал таким, видимо надо в две стороны... делать(inside\outside), тут неплохо раскурено http://www.lissyara.su/articles/cisco/double_nat/ только там порт получится наверно указать только когда outside, клиент же не обязательно с 3389 будет лезть, поэтому обратно когда пойдет похоже надо будет все с удаленого швырять на клиента...хотя могу ошибаться, и у ip nat outside есть add route(возможно помогает отграблей кот там расписаны), сильно не вникал вобщем | | |
| 7
- 06.01.2012 - 14:49
| :) апоздаль | | |
| 8
- 06.01.2012 - 15:08
|
какой в звдницу двойной nat? во входящем пакете подменяется целевой адрес, он переходит из локальной категории в транзитную, далее следует в обычный nat, ответный син будет не входящим, а транзитным (в соответствии с философией stateful), и будет пропущен в нужном направлении как related, если таковое правило присутствует и на этом все | | |
| 9
- 06.01.2012 - 15:10
| а подменить источник ? клиент то кидал не просто на внешку, он кидал ваще на другой ип, там надо и сорс и дест менять | | |
| 10
- 06.01.2012 - 15:15
| хотя меня всегда убивало это цисковское inside\outside local\global, мож че не догоняю.... | | |
| 11
- 06.01.2012 - 15:16
| блть, я же все расписал, подмена dst единственное нужное изменение, src подменяется уже нативным путем | | |
| 12
- 06.01.2012 - 16:56
| Цитата:
| | |
| 13
- 06.01.2012 - 17:05
|
Можно сделать так. Работает. ip nat outside source static tcp искомый_сервер 3389 любой_внешний_адрес 3389 Где в качестве любой_внешний_адрес можно указать что угодно, лишь бы не подпадало под подсеть интерфейса, помеченного как inside. | | |
| 14
- 06.01.2012 - 17:06
| Вдогонку. Единственное, в чем минус, так это в том, что клиент должен соединяться именно с тем, что указано в любой_внешний_адрес. | | |
| 15
- 06.01.2012 - 17:28
|
Сколько эмоций ) Так а как сделать редирект как в теме. ( не теория только)? З.ы. я не стебусь , просто не знаю. | | |
| 16
- 06.01.2012 - 17:34
| 16-701054 > Я же в 14-15 написал, как. | | |
| 17
- 06.01.2012 - 17:36
| Дык в теме как раз на адрес ифейса который инсайд как я понял | | |
| 18
- 06.01.2012 - 17:40
| 18-701054 > В общем-то да. Но в моём случае пока прокатит и так, как я написал, но хотелось бы, конечно так, как в (0). | | |
| 19
- 06.01.2012 - 17:55
| И ещё интересно если полиси роутингом пнуть наружу наты сработают? | | |
| 20
- 08.01.2012 - 14:18
|
1-Damnien >я слегка не понимаю что вы хотите итого получить, но если вы хотите что бы при обращении с LAN стороны по порту 3389 перебрасывало на белый адрес сервера (тут могут быть 2 варианта сервер в одной сети с кошкой. или какой то далекий сервер.) если первый вариант то вам нужно нарисовать pbr и повесить на LAN интерфейс. уйдете от ната. с маршрутизируете серую и белую сеть. если второй вариант то погугглите на тематику nat & route-map. | |
Интернет-форум Краснодарского края и Краснодара |
