Обход NAT

@sergeykuz · Регистрация: 22.01.2015

Author24 — интернет-сервис помощи студентам

Есть сеть "маршрутизатор->свич->шлюз->сервер". Нужно пустить пинги с маршрутизатора на сервер. Со свича они ходят без проблем, на маршрутизаторе прописан маршрут до свича, но приходят они подписанные другим адресом. Всё дело в NAT на этом маршрутизаторе, он воспринимает этот адрес как глобальный и подписывает его таким образом, чтобы он уходил на другой порт шлюза и дальше в интернет. Вопрос в том, можноли сделать исключение в NAT для одного адреса, чтобы он никак не подписывался.

@corlovito · 27.01.2015, 10:00

рисуйте схему, а так да в нат можно сделать исключение для одного адреса

@sergeykuz · 27.01.2015, 10:05 **[ТС]**

Так, а там не просто исключение прописывается?

@corlovito · 27.01.2015, 10:12

identity nat называется

Добавлено через 5 минут
если вы составите схему с указанием где какое именно оборудование стоит, можно вести детальный разговор

@sergeykuz · 27.01.2015, 11:20 **[ТС]**

NAT на маршрутизаторе

no ip nat service sip udp port 5060
ip nat pool NAT_POOL 11.228.112.254 11.228.112.254 netmask 255.255.255.0
ip nat inside source list nat pool NAT_POOL overload
ip nat inside source static udp 172.22.3.172 22 11.228.77.43 22 extendable
ip nat inside source static tcp 10.22.2.22 2193 11.228.112.71 2193 extendable
ip nat inside source static udp 10.22.2.22 2193 11.228.112.71 2193 extendable
ip nat inside source static tcp 10.22.2.22 2371 11.228.112.71 2371 extendable
ip nat inside source static udp 10.22.2.22 2371 11.228.112.71 2371 extendable
ip nat inside source static tcp 10.22.2.30 3389 11.228.112.254 63073 extendable
ip nat inside source static tcp 10.22.2.200 3389 11.228.112.254 63074 extendable
|
|
|
ip access-list extended nat
permit ip 10.22.0.0 0.0.0.255 any
permit ip 10.22.1.0 0.0.0.255 any
permit ip 10.22.2.0 0.0.0.255 any
permit ip 10.22.3.0 0.0.0.255 any
permit ip 172.16.0.0 0.15.255.255 any
permit ip 192.168.0.0 0.0.255.255 any

Адрес 11.228.112.71 и 11.228.112.254 свичом воспринимается как глобальный и маршрутизируется на порт шлюза именно в глобальную сеть, а мой адрес (172.29.3.220) каким-то образом также подпадает под эту характеристику и выходит на свич не со своим адресом, а с 11.228.112.254. Как сделать исключение, чтобы он на свич выходил со своим адресом?

@corlovito · 27.01.2015, 11:23

deny host 172.29.3.220 добавьте в список доступа

@sergeykuz · 27.01.2015, 11:28 **[ТС]**

В уже существующий? И не важно под каким номером?

@corlovito · 27.01.2015, 11:34

перед вот этим - permit ip 172.16.0.0 0.15.255.255 any

@sergeykuz · 27.01.2015, 11:42 **[ТС]**

т.е. такая строчка в терминале "ip access-list extended nat"?
45 permit ip deny host 172.29.3.220

она не проходит. Ошибка в deny

@corlovito · 27.01.2015, 11:56

ваш список доступа должен иметь вот такой вид

Код

ip access-list extended nat
permit ip 10.22.0.0 0.0.0.255 any
permit ip 10.22.1.0 0.0.0.255 any
permit ip 10.22.2.0 0.0.0.255 any
permit ip 10.22.3.0 0.0.0.255 any
deny ip host 172.29.3.220 any
permit ip 172.16.0.0 0.15.255.255 any
permit ip 192.168.0.0 0.0.255.255 any

@sergeykuz · 27.01.2015, 12:15 **[ТС]**

access-list выглядит так, как вы и сказали, но результат тот же.

@corlovito · 27.01.2015, 12:16

таблицу nat почистили ?

@sergeykuz · 27.01.2015, 12:37 **[ТС]**

Так, а как мне её почистить, если все эти замены нужны?

@corlovito · 27.01.2015, 12:50

Код

clear ip nat trans *

@sergeykuz · 27.01.2015, 13:04 **[ТС]**

Я правильно понимаю, что этой командой я очищаю историю NAT трансляций?

@corlovito · 27.01.2015, 13:07

этой командой удаляются записи в таблице преобразований nat, которые на данный момент на марше существуют
sh ip nat trans наберите и увидите

@sergeykuz · 27.01.2015, 13:36 **[ТС]**

Да, я посмотрел, там он очень длинный список открывает. Не будет ли проблем с натированием? Или он просто новую таблицу построит и всё, просто с учётом новых исключений?

@corlovito · 27.01.2015, 13:40

с натированием проблем не будет точно, марш посмотрит просто что у него в таблице такой записи нет и создаст новую

@sergeykuz · 27.01.2015, 13:46 **[ТС]**

Результат тот же. Транкуется до свича и всё. Дальше пустота.

@corlovito · 27.01.2015, 13:48

что значит транкуется? покажите sh ip nat trans для этого ip конфиг циски

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,886
	27.01.2015, 12:50	14
	Код clear ip nat trans * 1

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,886
	27.01.2015, 13:40	18
	с натированием проблем не будет точно, марш посмотрит просто что у него в таблице такой записи нет и создаст новую 0

@sergeykuz 0 / 0 / 0 Регистрация: 22.01.2015 Сообщений: 14
		1
	Обход NAT 27.01.2015, 09:40. Показов 2937. Ответов 22 Метки нет (Все метки) Есть сеть "маршрутизатор->свич->шлюз->сервер". Нужно пустить пинги с маршрутизатора на сервер. Со свича они ходят без проблем, на маршрутизаторе прописан маршрут до свича, но приходят они подписанные другим адресом. Всё дело в NAT на этом маршрутизаторе, он воспринимает этот адрес как глобальный и подписывает его таким образом, чтобы он уходил на другой порт шлюза и дальше в интернет. Вопрос в том, можноли сделать исключение в NAT для одного адреса, чтобы он никак не подписывался. 0

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,886
	27.01.2015, 10:00	2
	рисуйте схему, а так да в нат можно сделать исключение для одного адреса 0

@sergeykuz 0 / 0 / 0 Регистрация: 22.01.2015 Сообщений: 14
	27.01.2015, 10:05 [ТС]	3
	Так, а там не просто исключение прописывается? 0

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,886
	27.01.2015, 10:12	4
	identity nat называется Добавлено через 5 минут если вы составите схему с указанием где какое именно оборудование стоит, можно вести детальный разговор 0

@sergeykuz 0 / 0 / 0 Регистрация: 22.01.2015 Сообщений: 14
	27.01.2015, 11:20 [ТС]	5
	NAT на маршрутизаторе no ip nat service sip udp port 5060 ip nat pool NAT_POOL 11.228.112.254 11.228.112.254 netmask 255.255.255.0 ip nat inside source list nat pool NAT_POOL overload ip nat inside source static udp 172.22.3.172 22 11.228.77.43 22 extendable ip nat inside source static tcp 10.22.2.22 2193 11.228.112.71 2193 extendable ip nat inside source static udp 10.22.2.22 2193 11.228.112.71 2193 extendable ip nat inside source static tcp 10.22.2.22 2371 11.228.112.71 2371 extendable ip nat inside source static udp 10.22.2.22 2371 11.228.112.71 2371 extendable ip nat inside source static tcp 10.22.2.30 3389 11.228.112.254 63073 extendable ip nat inside source static tcp 10.22.2.200 3389 11.228.112.254 63074 extendable \| \| \| ip access-list extended nat permit ip 10.22.0.0 0.0.0.255 any permit ip 10.22.1.0 0.0.0.255 any permit ip 10.22.2.0 0.0.0.255 any permit ip 10.22.3.0 0.0.0.255 any permit ip 172.16.0.0 0.15.255.255 any permit ip 192.168.0.0 0.0.255.255 any Адрес 11.228.112.71 и 11.228.112.254 свичом воспринимается как глобальный и маршрутизируется на порт шлюза именно в глобальную сеть, а мой адрес (172.29.3.220) каким-то образом также подпадает под эту характеристику и выходит на свич не со своим адресом, а с 11.228.112.254. Как сделать исключение, чтобы он на свич выходил со своим адресом? 0

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,886
	27.01.2015, 11:23	6
	deny host 172.29.3.220 добавьте в список доступа 0

@sergeykuz 0 / 0 / 0 Регистрация: 22.01.2015 Сообщений: 14
	27.01.2015, 11:28 [ТС]	7
	В уже существующий? И не важно под каким номером? 0

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,886
	27.01.2015, 11:34	8
	перед вот этим - permit ip 172.16.0.0 0.15.255.255 any 0

@sergeykuz 0 / 0 / 0 Регистрация: 22.01.2015 Сообщений: 14
	27.01.2015, 11:42 [ТС]	9
	т.е. такая строчка в терминале "ip access-list extended nat"? 45 permit ip deny host 172.29.3.220 она не проходит. Ошибка в deny 0

@sergeykuz 0 / 0 / 0 Регистрация: 22.01.2015 Сообщений: 14
	27.01.2015, 12:15 [ТС]	11
	access-list выглядит так, как вы и сказали, но результат тот же. 0

	27.01.2015, 13:48

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,886
	27.01.2015, 12:16	12
	таблицу nat почистили ? 1

@sergeykuz 0 / 0 / 0 Регистрация: 22.01.2015 Сообщений: 14
	27.01.2015, 12:37 [ТС]	13
	Так, а как мне её почистить, если все эти замены нужны? 0

@sergeykuz 0 / 0 / 0 Регистрация: 22.01.2015 Сообщений: 14
	27.01.2015, 13:04 [ТС]	15
	Я правильно понимаю, что этой командой я очищаю историю NAT трансляций? 0

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,886
	27.01.2015, 13:07	16
	этой командой удаляются записи в таблице преобразований nat, которые на данный момент на марше существуют sh ip nat trans наберите и увидите 0

@sergeykuz 0 / 0 / 0 Регистрация: 22.01.2015 Сообщений: 14
	27.01.2015, 13:36 [ТС]	17
	Да, я посмотрел, там он очень длинный список открывает. Не будет ли проблем с натированием? Или он просто новую таблицу построит и всё, просто с учётом новых исключений? 0

@sergeykuz 0 / 0 / 0 Регистрация: 22.01.2015 Сообщений: 14
	27.01.2015, 13:46 [ТС]	19
	Результат тот же. Транкуется до свича и всё. Дальше пустота. 0