forum.opennet.ru

Составление сообщения

Исходное сообщение

"cisco 2800 & asa 5510 проброс порта"
Отправлено metalolom, 03-Фев-07 20:25

Здравствуйте!
Есть роутер 2800 который одним концом смотрит в мир, другим на asa 5510 за которой уже находится сетка юзверей.
Получается НАТ в НАТ, а именно:
от юзверя в сетки 10.2.0.0/16 (на 5510) пакет через нат выходит на 192.168.0.3 (тоже 5510)
и  идёт на шлюз 192.168.0.1 (уже 2800) опять через нат выходит на 213.169.*.*
Нужно пробросить порт 3389 на комп юзверя.
как пробрасывать порт на 2800 - я знаю, а вот как его пробросить в данном случае?
Вот конфиг 2800
hostname Router
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200 informational
logging console critical
enable secret 5 *****************
!
aaa new-model
!
!
aaa authentication login local_authen local
aaa authorization exec local_author local
!
aaa session-id common
!
resource policy
!
ip subnet-zero
no ip source-route
ip tcp synwait-time 10
!
!
ip cef
!
!
no ip bootp server
!
username *****  privilege 15 password 7 ************
!
!
!
interface Null0
no ip unreachables
!
interface FastEthernet0/0
description $ETH-LAN$$FW_OUTSIDE$
ip address 213.169.**.** 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
description $FW_INSIDE$
ip address 192.168.0.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
ip classless
ip route 0.0.0.0 0.0.0.0 213.169.**.**
!
ip http server
ip http access-class 12
ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source static tcp 192.168.0.1 80 213.169.**.** 80 extendable
ip nat outside source static tcp 213.169.**.** 3389 192.168.0.2 3389 extendable
!
logging 213.169.**.**
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.2.0.0 0.0.255.255
access-list 1 permit 192.0.0.0 0.255.255.255
access-list 12 permit 10.2.0.11 log
access-list 12 permit 213.169.**.** log
access-list 12 permit 192.168.0.0 log
access-list 12 permit 192.168.0.3 log
access-list 12 permit 213.169.**.** log
access-list 12 permit 213.169.*.** log
access-list 12 permit 212.109.*.* log
access-list 12 permit 192.0.0.0 log
access-list 12 deny   any
access-list 100 permit ip 10.2.0.0 0.0.255.255 any
access-list 100 permit ip host 213.169.*.* host 10.2.0.1
access-list 100 permit ip host 213.169.*.* host 213.169.*.* log
access-list 100 permit ip host 213.169.*.* any
access-list 100 deny   ip any any
access-list 103 permit tcp host 213.169.*.* eq 3389 any eq 3389
access-list 103 permit tcp any eq 3389 host 213.169.*.* eq 3389 log
no cdp run
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!
^C
!
line con 0
login authentication local_authen
transport output telnet
line aux 0
login authentication local_authen
transport output telnet
line vty 0 4
access-class 12 in
authorization exec local_author
login authentication local_authen
transport input telnet
transport output telnet
!
scheduler allocate 20000 1000
!
end

Что и где надо писать в 5510?

Исходное сообщение
"cisco 2800 & asa 5510 проброс порта" Отправлено metalolom, 03-Фев-07 20:25
Здравствуйте! Есть роутер 2800 который одним концом смотрит в мир, другим на asa 5510 за которой уже находится сетка юзверей. Получается НАТ в НАТ, а именно: от юзверя в сетки 10.2.0.0/16 (на 5510) пакет через нат выходит на 192.168.0.3 (тоже 5510) и идёт на шлюз 192.168.0.1 (уже 2800) опять через нат выходит на 213.169.. Нужно пробросить порт 3389 на комп юзверя. как пробрасывать порт на 2800 - я знаю, а вот как его пробросить в данном случае? Вот конфиг 2800 hostname Router ! boot-start-marker boot-end-marker ! security authentication failure rate 3 log security passwords min-length 6 logging buffered 51200 informational logging console critical enable secret 5 *************** ! aaa new-model ! ! aaa authentication login local_authen local aaa authorization exec local_author local ! aaa session-id common ! resource policy ! ip subnet-zero no ip source-route ip tcp synwait-time 10 ! ! ip cef ! ! no ip bootp server ! username * privilege 15 password 7 ******** ! ! ! interface Null0 no ip unreachables ! interface FastEthernet0/0 description $ETH-LAN$$FW_OUTSIDE$ ip address 213.169.. 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip route-cache flow duplex auto speed auto no mop enabled ! interface FastEthernet0/1 description $FW_INSIDE$ ip address 192.168.0.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip route-cache flow duplex auto speed auto no mop enabled ! ip classless ip route 0.0.0.0 0.0.0.0 213.169.. ! ip http server ip http access-class 12 ip nat inside source list 1 interface FastEthernet0/0 overload ip nat inside source static tcp 192.168.0.1 80 213.169.. 80 extendable ip nat outside source static tcp 213.169.. 3389 192.168.0.2 3389 extendable ! logging 213.169.. access-list 1 remark SDM_ACL Category=2 access-list 1 permit 10.2.0.0 0.0.255.255 access-list 1 permit 192.0.0.0 0.255.255.255 access-list 12 permit 10.2.0.11 log access-list 12 permit 213.169.. log access-list 12 permit 192.168.0.0 log access-list 12 permit 192.168.0.3 log access-list 12 permit 213.169..** log access-list 12 permit 213.169..* log access-list 12 permit 212.109.. log access-list 12 permit 192.0.0.0 log access-list 12 deny any access-list 100 permit ip 10.2.0.0 0.0.255.255 any access-list 100 permit ip host 213.169.. host 10.2.0.1 access-list 100 permit ip host 213.169.. host 213.169.. log access-list 100 permit ip host 213.169.. any access-list 100 deny ip any any access-list 103 permit tcp host 213.169.. eq 3389 any eq 3389 access-list 103 permit tcp any eq 3389 host 213.169.. eq 3389 log no cdp run ! control-plane ! banner login ^CAuthorized access only! Disconnect IMMEDIATELY if you are not an authorized user! ^C ! line con 0 login authentication local_authen transport output telnet line aux 0 login authentication local_authen transport output telnet line vty 0 4 access-class 12 in authorization exec local_author login authentication local_authen transport input telnet transport output telnet ! scheduler allocate 20000 1000 ! end Что и где надо писать в 5510?

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Здравствуйте!
> Есть роутер 2800 который одним концом смотрит в мир, другим на asa 
> 5510 за которой уже находится сетка юзверей.
> Получается НАТ в НАТ, а именно:

> от юзверя в сетки 10.2.0.0/16 (на 5510) пакет через нат выходит на 
> 192.168.0.3 (тоже 5510) 
> и  идёт на шлюз 192.168.0.1 (уже 2800) опять через нат выходит 
> на 213.169.*.*

> Нужно пробросить порт 3389 на комп юзверя.
> как пробрасывать порт на 2800 - я знаю, а вот как его 
> пробросить в данном случае?
> Вот конфиг 2800 
> hostname Router 
> !
> boot-start-marker 
> boot-end-marker 
> !
> security authentication failure rate 3 log 
> security passwords min-length 6 
> logging buffered 51200 informational 
> logging console critical 
> enable secret 5 ***************** 
> !
> aaa new-model 
> !
> !
> aaa authentication login local_authen local 
> aaa authorization exec local_author local 
> !
> aaa session-id common 
> !
> resource policy 
> !
> ip subnet-zero 
> no ip source-route 
> ip tcp synwait-time 10 
> !
> !
> ip cef 
> !
> !
> no ip bootp server 
> !
> username *****  privilege 15 password 7 ************ 
> !
> !
> !
> interface Null0 
>  no ip unreachables 
> !
> interface FastEthernet0/0 
>  description $ETH-LAN$$FW_OUTSIDE$ 
>  ip address 213.169.**.** 255.255.255.252 
>  no ip redirects 
>  no ip unreachables 
>  no ip proxy-arp 
>  ip nat outside 
>  ip route-cache flow 
>  duplex auto 
>  speed auto 
>  no mop enabled 
> !
> interface FastEthernet0/1 
>  description $FW_INSIDE$ 
>  ip address 192.168.0.1 255.255.255.0 
>  no ip redirects 
>  no ip unreachables 
>  no ip proxy-arp 
>  ip nat inside 
>  ip route-cache flow 
>  duplex auto 
>  speed auto 
>  no mop enabled 
> !
> ip classless 
> ip route 0.0.0.0 0.0.0.0 213.169.**.** 
> !
> ip http server 
> ip http access-class 12 
> ip nat inside source list 1 interface FastEthernet0/0 overload 
> ip nat inside source static tcp 192.168.0.1 80 213.169.**.** 80 extendable 
> ip nat outside source static tcp 213.169.**.** 3389 192.168.0.2 3389 extendable 
> !
> logging 213.169.**.** 
> access-list 1 remark SDM_ACL Category=2 
> access-list 1 permit 10.2.0.0 0.0.255.255 
> access-list 1 permit 192.0.0.0 0.255.255.255 
> access-list 12 permit 10.2.0.11 log 
> access-list 12 permit 213.169.**.** log 
> access-list 12 permit 192.168.0.0 log 
> access-list 12 permit 192.168.0.3 log 
> access-list 12 permit 213.169.**.** log 
> access-list 12 permit 213.169.*.** log 
> access-list 12 permit 212.109.*.* log 
> access-list 12 permit 192.0.0.0 log 
> access-list 12 deny   any 
> access-list 100 permit ip 10.2.0.0 0.0.255.255 any 
> access-list 100 permit ip host 213.169.*.* host 10.2.0.1 
> access-list 100 permit ip host 213.169.*.* host 213.169.*.* log 
> access-list 100 permit ip host 213.169.*.* any 
> access-list 100 deny   ip any any 
> access-list 103 permit tcp host 213.169.*.* eq 3389 any eq 3389 
> access-list 103 permit tcp any eq 3389 host 213.169.*.* eq 3389 log 
 
> no cdp run 
> !
> control-plane 
> !
> banner login ^CAuthorized access only!
>  Disconnect IMMEDIATELY if you are not an authorized user!
> ^C 
> !
> line con 0 
>  login authentication local_authen 
>  transport output telnet 
> line aux 0 
>  login authentication local_authen 
>  transport output telnet 
> line vty 0 4 
>  access-class 12 in 
>  authorization exec local_author 
>  login authentication local_authen 
>  transport input telnet 
>  transport output telnet 
> !
> scheduler allocate 20000 1000 
> !
> end

> Что и где надо писать в 5510?

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру