免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 3735 | 回复: 6

请教路由器NAT方面的问题 [复制链接]

论坛徽章:
9
CU大牛徽章
日期:2013-03-13 15:29:07CU大牛徽章
日期:2013-03-13 15:29:49CU大牛徽章
日期:2013-03-13 15:30:19CU大牛徽章
日期:2013-03-14 14:16:46CU大牛徽章
日期:2013-03-14 14:16:49CU大牛徽章
日期:2013-03-14 14:16:51CU大牛徽章
日期:2013-03-14 14:16:52处女座
日期:2014-06-11 10:34:40技术图书徽章
日期:2014-07-11 16:32:15
发表于 2015-07-06 17:34 |显示全部楼层
本帖最后由 george_young 于 2015-07-06 17:35 编辑

各位,请教个NAT相关的问题:一台CISCO 2811作为路由器,对外打开了SSH访问。
f0/0 接公网 如202.101.10.97/29
f0/1 接内网 如192.168.0.0/24

允许f0/1对外访问

access-list 12 permit ip 192.168.0.0 0.0.0.255
access-list 12 deny ip any any
#
ip route 0.0.0.0 0.0.0.0 f0/0
ip nat inside source list 12 interface f0/0 overload


这个时候子网和路由器均能正常对外访问


这时候子网对外访问是通
但当在f0/0 上设定了ACL 仅允许访问公网IP的SSH端口,并将该规则绑到f0/0 的in后,发现子网无法对外访问。外网能访问2811的SSH口。
access-list 102 permit icmp any host 202.101.10.97 echo
access-list 102 permit tcp host www.xxx.yyy.zzz host 202.101.10.97 sq 22
access-list 102 permit tcp any any established
access-list 102 deny ip any any


inter f0/0
ip access-group 102 in

这个时候路由器和子网对外均无法访问


请问还要加啥规则吗?

按我个人理解  ip nat inside source list 12 interface f0/0 overload   这句是允许子网访问出去。即等同iptables forward链
而我绑定在f0/0上的in 应该等同于iptables 的input链路。
这两个应该没有影响, 请各位指正。

论坛徽章:
5
IT运维版块每日发帖之星
日期:2015-08-06 06:20:00IT运维版块每日发帖之星
日期:2015-08-10 06:20:00IT运维版块每日发帖之星
日期:2015-08-23 06:20:00IT运维版块每日发帖之星
日期:2015-08-24 06:20:00IT运维版块每日发帖之星
日期:2015-11-12 06:20:00
发表于 2015-07-07 16:28 |显示全部楼层
udp,放开,否则DNS如何解析?

论坛徽章:
9
CU大牛徽章
日期:2013-03-13 15:29:07CU大牛徽章
日期:2013-03-13 15:29:49CU大牛徽章
日期:2013-03-13 15:30:19CU大牛徽章
日期:2013-03-14 14:16:46CU大牛徽章
日期:2013-03-14 14:16:49CU大牛徽章
日期:2013-03-14 14:16:51CU大牛徽章
日期:2013-03-14 14:16:52处女座
日期:2014-06-11 10:34:40技术图书徽章
日期:2014-07-11 16:32:15
发表于 2015-07-08 15:50 |显示全部楼层
感谢LS的回复
目前从内网对外网访问方式为ping  和ssh ,尚未使用客户机配置DNS浏览网页。

论坛徽章:
5
IT运维版块每日发帖之星
日期:2015-08-06 06:20:00IT运维版块每日发帖之星
日期:2015-08-10 06:20:00IT运维版块每日发帖之星
日期:2015-08-23 06:20:00IT运维版块每日发帖之星
日期:2015-08-24 06:20:00IT运维版块每日发帖之星
日期:2015-11-12 06:20:00
发表于 2015-07-09 08:25 |显示全部楼层
TCP的那条改下。

试试。怀疑TCP某个FLAG你没允许。

论坛徽章:
0
发表于 2015-07-10 16:10 |显示全部楼层
本帖最后由 lnwu 于 2015-07-10 16:10 编辑

你是要通过ssh管理Cisco 2811的话,acl规则应用到vty线路上试试,这样应该就没有问题了。
line vty 0 4
access-class 102 in

acl规则不能应用到端口fa0/0上

论坛徽章:
9
CU大牛徽章
日期:2013-03-13 15:29:07CU大牛徽章
日期:2013-03-13 15:29:49CU大牛徽章
日期:2013-03-13 15:30:19CU大牛徽章
日期:2013-03-14 14:16:46CU大牛徽章
日期:2013-03-14 14:16:49CU大牛徽章
日期:2013-03-14 14:16:51CU大牛徽章
日期:2013-03-14 14:16:52处女座
日期:2014-06-11 10:34:40技术图书徽章
日期:2014-07-11 16:32:15
发表于 2015-07-15 15:20 |显示全部楼层
本帖最后由 george_young 于 2015-07-15 15:28 编辑

回复 4# ssffzz1


    感谢,已经查出的问题,需要用自反ACL才能搞定。

另外,有哥们知道生产环境里面内外互通的严格规则吗?

比如
外网----f0/0--路由--f0/1--交换机-服务器

f0/1上怎么能让f0/1 流入到交换机/服务器 仅允许几个端口吗?比如仅仅80 443 8080 能流入,但交换机/服务器能任意对外访问。







论坛徽章:
9
CU大牛徽章
日期:2013-03-13 15:29:07CU大牛徽章
日期:2013-03-13 15:29:49CU大牛徽章
日期:2013-03-13 15:30:19CU大牛徽章
日期:2013-03-14 14:16:46CU大牛徽章
日期:2013-03-14 14:16:49CU大牛徽章
日期:2013-03-14 14:16:51CU大牛徽章
日期:2013-03-14 14:16:52处女座
日期:2014-06-11 10:34:40技术图书徽章
日期:2014-07-11 16:32:15
发表于 2015-07-15 15:25 |显示全部楼层
回复 5# lnwu


   
目前的想法是用一个统一的规则阻挡外来访问。单绑定ACL到SSH-VTY上是能限制来自外部对SSH的访问。但如果路由器有其他端口也是开放的话,等于每个端口/服务都做个acl。

因此用的是:

允许a
允许b
允许b
都不允许

但上面这种写法写得太死了,我内部的包出去都回不来了。对我这种入门人士来说有难度。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP