Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
1

Какой NAT применить

18.01.2017, 19:03. Просмотров 390. Ответов 4
Метки нет (Все метки)

Ребят доброго времени суток.
Подскажите какой лучше НАТ применить. До этого тестовые схемы собирал.
Кстати, ребята с форума помогали, спасибо.
Сейчас, реальная схема и как то растерялся...))) ACL я сам настрою, думаю не будет проблем...
Схема во вложении.
Задача:
1) С любых серверов Корпоративной сети сделать НАТ на сервер 7. Все ip пакеты.
2) С серверов 1,2,3,4 НАТ с портами tcp=14000 и 9666 на сервер 5 с теми же портами.
3) С серверов 1,2,3,4 НАТ с портами tcp=14000 и 9666 на сервер 6 с теми же портами

Заранее благодарен...
0
Миниатюры
Какой NAT применить  
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
18.01.2017, 19:03
Ответы с готовыми решениями:

Какой подход применить?
\int \frac{\cos x\operatorname{d}x}{\cos x+\sin x} Подскажите пожалуйста, какую замену сделать?

Какой блок питания применить??
Привет всем! Я тут наваял автомат управления освещением санузла на Miko8. Питание через небольшой...

Какой паттерн лучше применить?
Добрый день например в WPF приложении есть 3 Views. Каждая View содержит Control разного типа,...

Посоветуйте, какой паттерн можно применить?
Ситуация следующая. Есть класс с набором методов, от него наследуется 3 класса, у каждого класса...

Какой металл можно применить для протекторной защиты
Прошу помочь. Задача: Какой металл можно применить для протекторной защиты пары Sn-Fe?

4
xeonz
643 / 235 / 35
Регистрация: 16.05.2014
Сообщений: 1,875
18.01.2017, 19:10 2
"Сделать нат" - это что подразумевает то? Нужно менять destination адрес или source? Цели то какие?
1
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
19.01.2017, 08:02  [ТС] 3
Цитата Сообщение от xeonz Посмотреть сообщение
"Сделать нат" - это что подразумевает то? Нужно менять destination адрес или source? Цели то какие?
Сервера 1,2,3,4 знают только 10.0.0.1. И получается стучатся к ДМЗ серверам по нему, значит нужно destination менять.
А в обратную сторону от серверов ДМЗ к серверам 1,2,3,4 менять source.
Или я неправильно выстраиваю сеть. Просто в настоящий момент поднята на ASA динамика(eigrp) и все сети знают про все)))
Задача спрятать сеть ДМЗ

Добавлено через 11 часов 26 минут
Подскажите, правильно ли я понимаю, что static nat здесь использовать нельзя?
К примеру:
C
1
2
3
4
5
6
object network DMZ
    subnet 20.0.0.50 255.255.255.252
object-group service PORT-9666-14000
    port-object eq 9666
    port-object eq 14000
nat (outside,dmz) source static any any destanation static interface DMZ service PORT-9666-14000 PORT-9666-14000
Я так понимаю, что если один из серверов 1,2,3,4 установит соединение, то другие не смогут. Так как static nat - это один к одному. Я прав???

Добавлено через 8 минут
Наверно лучше dynamic nat:
C
1
nat (outside,dmz) source dynamic any interface destination static interface DMZ service PORT-9666-14000 PORT-9666-14000
Но вот вопрос, если мне не надо чтобы source адрес подменялся на интерфейсный, хочу на сервере указать реальные адреса серверов 1,2,3,4. Как быть????

P.S. Нахожусь на объекте, задача горит))))
0
xeonz
643 / 235 / 35
Регистрация: 16.05.2014
Сообщений: 1,875
19.01.2017, 10:48 4
У вас свободных адресов в 10.0.0.0/24 достаточно, чтобы каждому серверу в дмз привязать свой адрес в 10.0.0.0/24? Если да, то бросьте этот геморой с трансляцией портов и делайте обычный статик нат "адрес в адрес":

object network DMZ-SRV5
host 20.0.0.5
object network DMZ-SRV6
host 20.0.0.6
object network DMZ-SRV7
host 20.0.0.7

object network DMZ-SRV5
nat (DMZ,outside) static 10.0.0.5
object network DMZ-SRV6
nat (DMZ,outside) static 10.0.0.6
object network DMZ-SRV7
nat (DMZ,outside) static 10.0.0.7


Все.

А весь доступ рулите через ACL. Не пытайтесь на НАТ навесить функции контроля доступа. Для этого есть ACL.

Добавлено через 28 минут
Данная конфигурация делает следующее:
1. При доступе из outside в DMZ (по адресами 10.0.0.х) меняет destination адреса с 10.0.0.х на 20.0.0.x.
2. При доступе из DMZ в ouside, а также для ответного трафика для пункта 1, меняет source адрес 20.0.0.x на 10.0.0.х.

Вроде как решает озвученные вами задачи.
2
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
19.01.2017, 20:15  [ТС] 5
xeonz, Спасибо, который раз подсказываете...
Поздно я правда прочитал ваше сообщение, сильно был занят конфигурацией.
Я уже ближе к середине своей работы понял, что делаю двойную работу: и НАТ с контролем и ACL....))))
Запарился конкретно, но вроде хорошо закрепил материал)))
Кое-где были задачи которые можно было решить именно с помощью NAT с контролем, а в основном все как Вы сказали...
В общем все работает как надо....))))
0
19.01.2017, 20:15
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
19.01.2017, 20:15

WPF: Не работают библиотеки Open.NAT, Mono.NAT
Доброго времени суток! Хочу витащить свой IP. У меня "серый ip". (кто не в курсе го в Википедию)...

Какой sql код нужно применить, для вывода имён только на букву а?
(Access таблицы) Имеется запрос, построеный на основе таблицы Сотрудники. Мне нужно с помощью sql...

Не могу разобрать какой метод нужно применить к дешифровке сообщения и как его реализовывать в программе
При зашифровывании исходного сообщения каждую его букву заняли одной либо двумя цифрами, причем...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
5
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru