Простейший случай, за киской 871 один сервер, на него из WAN надо пробросить 80 порт TCP, подменяя адрес источника и на него же 10080 UDP, не меняя адреса источника. Проблема с UDP, если к моменту его прихода с этого же адреса TCP пакета не приходило и динамически ему циска не назначила Outside local из пула для соответствующего Outside global, то все хорошо, Outside local == Outside global и на сервере он видится с родным адресом. Но если же Outside local для Outside global уже назначен, то циска осуществляет трансляцию, хотя я ее об этом и не просил. Pro Inside global Inside local Outside local Outside global
--- --- --- 10.0.1.3 79.78.116.62
tcp 212.167.2.180:80 10.0.0.104:80 --- ---
udp 212.167.2.180:10080 10.0.0.104:10080 10.0.1.3:36000 79.78.116.62:36000
udp 212.167.2.180:10080 10.0.0.104:10080 193.203.8.7:36000 193.203.8.7:36000
udp 212.167.2.180:10080 10.0.0.104:10080 --- ---
На Netscreen-е я быстро это настроил, там нат можно вешать на политику:
- set policy id 1 name "UDP 104" from "Untrust" to "Trust" "Any" "MIP(212.167.2.180)" "UDP 10080" Permit log count
- set policy id 2 name "TCP 104" from "Untrust" to "Trust" "Any" "MIP(212.167.2.180)" "TCP 80" nat dip-id 2 Permit log count
Только вот его надо либо вернуть либо купить, а киска год как без дела валяется.
Кто-нибудь сможет помочь или безнадега полная? Был бы очень благодарен за помощь.
Вот конфиг:
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname CISCO871
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 <removed>
enable password <removed>
!
no aaa new-model
!
!
dot11 syslog
no ip source-route
ip host-routing
!
!
!
!
ip cef
no ip bootp server
!
no ipv6 cef
multilink bundle-name authenticated
!
!
!
!
no spanning-tree vlan 1
!
!
!
archive
log config
hidekeys
!
!
ip tcp synwait-time 15
!
policy-map type access-control mymap
!
!
!
!
interface FastEthernet0
no cdp enable
!
interface FastEthernet1
shutdown
no cdp enable
!
interface FastEthernet2
shutdown
no cdp enable
!
interface FastEthernet3
shutdown
no cdp enable
!
interface FastEthernet4
ip address 212.167.2.180 255.255.255.248
ip access-group 101 in
no ip redirects
no ip unreachables
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface Vlan1
ip address 10.0.0.1 255.255.255.0
ip access-group 100 in
no ip redirects
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 212.167.2.177
ip http server
no ip http secure-server
!
!
ip nat translation tcp-timeout 500
ip nat pool net-10 10.0.1.1 10.0.255.255 prefix-length 16
ip nat inside source static tcp 10.0.0.104 80 212.167.2.180 80 extendable
ip nat inside source static udp 10.0.0.104 10080 212.167.2.180 10080 extendable
ip nat outside source list 102 pool net-10
!
access-list 10 permit 10.0.0.0 0.0.255.255
access-list 100 deny ip 10.0.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 100 permit ip 10.0.0.0 0.0.255.255 any
access-list 100 deny ip any any
access-list 101 permit udp any host 212.167.2.180 eq 10080
access-list 101 deny ip host 212.167.2.180 any
access-list 101 permit tcp any host 212.167.2.180 eq www
access-list 101 deny ip any any
access-list 102 deny udp any any
access-list 102 deny ip host 212.167.2.180 any
access-list 102 permit tcp any host 212.167.2.180 eq www
no cdp run
!
!
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
password <removed>
login
!
scheduler max-task-time 5000
no process cpu extended
no process cpu autoprofile hog
end
Вариант для распечатки
Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
(ok) on 09-Фев-10, 00:57 
