The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ip nat inside source static  И zbf"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"ip nat inside source static  И zbf"  +/
Сообщение от Gromophon (ok) on 31-Май-12, 05:41 
Уважаемые кошководы и им подобные. На isr 2811 IOS 15.1(4)M1 C2800NM-ADVENTERPRISEK9-M настраиваю проброс извне на внутренний хост в сети. При этом имеется zbf, при его отключении все работает нормально, какие взаимодействия между зонами используются при работе ip nat inside source static? Уже поставил и в out-self и в out-in разрешающее все на эти ip , как на внутренний, так и на внешний, и ничего не работает, при том что self-out разрешено практически все, in-out также.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "ip nat inside source static  И zbf"  +/
Сообщение от Merridius (ok) on 31-Май-12, 09:54 
> Уважаемые кошководы и им подобные. На isr 2811 IOS 15.1(4)M1 C2800NM-ADVENTERPRISEK9-M
> настраиваю проброс извне на внутренний хост в сети. При этом имеется
> zbf, при его отключении все работает нормально, какие взаимодействия между зонами
> используются при работе ip nat inside source static? Уже поставил и
> в out-self и в out-in разрешающее все на эти ip ,
> как на внутренний, так и на внешний, и ничего не работает,
> при том что self-out разрешено практически все, in-out также.

Покажите конфигу.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ip nat inside source static  И zbf"  +/
Сообщение от Gromophon (ok) on 31-Май-12, 11:18 
Как-то так:
такой zbf

class-map type inspect match-any SDM_HTTPS
match access-group name SDM_HTTPS
class-map type inspect match-any SDM_SSH
match access-group name SDM_SSH
class-map type inspect match-any SDM_SHELL
match access-group name SDM_SHELL
class-map type inspect match-any sdm-cls-access
match class-map SDM_HTTPS
match class-map SDM_SSH
match class-map SDM_SHELL
match protocol icmp
class-map type inspect match-any SDM_AH
match access-group name SDM_AH
class-map type inspect match-any SDM_ESP
match access-group name SDM_ESP
class-map type inspect match-any SDM_GRE
match access-group name SDM_GRE
class-map type inspect match-any SDM_VPN_SERVER_TRAFFIC
match protocol isakmp
match class-map SDM_AH
match class-map SDM_ESP
match protocol ipsec-msft
match protocol l2tp
match class-map SDM_GRE
match access-group 104
class-map type inspect match-any CCP-Voice-permit
match protocol h323
match protocol skinny
match protocol sip
match access-group 104
class-map type inspect match-any ccp-cls-insp-traffic
match protocol dns
match protocol ftp
match protocol h323
match protocol https
match protocol icmp
match protocol imap
match protocol pop3
match protocol netshow
match protocol shell
match protocol realmedia
match protocol rtsp
match protocol smtp
match protocol sql-net
match protocol streamworks
match protocol tftp
match protocol vdolive
match protocol tcp
match protocol udp
class-map type inspect match-all ccp-insp-traffic
match class-map ccp-cls-insp-traffic
class-map type inspect match-all SDM_IP
match access-group name SDM_IP
class-map match-all VoipNM
match access-group 105
class-map type inspect match-any ccp-cls-icmp-access
match protocol icmp
match protocol tcp
match protocol udp
class-map type inspect match-any p2p
match protocol bittorrent
match protocol edonkey
match protocol gnutella
match protocol kazaa2
match protocol fasttrack
class-map type inspect match-all SDM_VPN_SERVER_PT
match class-map SDM_VPN_SERVER_TRAFFIC
class-map type inspect match-all sdm-access
match class-map sdm-cls-access
match access-group 102
class-map type inspect match-all ccp-icmp-access
match class-map ccp-cls-icmp-access
class-map type inspect match-all ccp-invalid-src
match access-group 100
class-map type inspect match-all ccp-protocol-http
match protocol http
!
!
policy-map type inspect ccp-permit-icmpreply
class type inspect ccp-icmp-access
  inspect
class class-default
  pass
policy-map VoipNM
class VoipNM
  priority 128
class class-default
  fair-queue
policy-map type inspect sdm-inspect-voip-in
class type inspect CCP-Voice-permit
  pass
class class-default
  drop
policy-map type inspect ccp-inspect
class type inspect ccp-invalid-src
  drop log
class type inspect p2p
  drop log
class type inspect ccp-protocol-http
  inspect
class type inspect ccp-insp-traffic
  inspect
class type inspect CCP-Voice-permit
  inspect
class class-default
  pass
policy-map type inspect ccp-permit
class type inspect sdm-access
  inspect
class type inspect SDM_VPN_SERVER_PT
  pass
class class-default
  drop log
policy-map type inspect sdm-permit-ip
class type inspect SDM_IP
  pass
class class-default
  drop log
!
zone security out-zone
zone security in-zone
zone security ezvpn-zone
zone-pair security sdm-zp-in-ezvpn source in-zone destination ezvpn-zone
service-policy type inspect sdm-permit-ip
zone-pair security sdm-zp-ezvpn-in source ezvpn-zone destination in-zone
service-policy type inspect sdm-permit-ip
zone-pair security ccp-zp-self-out source self destination out-zone
service-policy type inspect ccp-permit-icmpreply
zone-pair security sdm-zp-out-in source out-zone destination in-zone
service-policy type inspect sdm-inspect-voip-in
zone-pair security ccp-zp-in-out source in-zone destination out-zone
service-policy type inspect ccp-inspect
zone-pair security ccp-zp-out-self source out-zone destination self
service-policy type inspect ccp-permit

--- Внутренний, внешний интерфейсы
interface FastEthernet0/0
description $ETH-SW-LAUNCH$$FW_INSIDE$
ip address 172.17.0.1 255.255.0.0
ip flow egress
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
service-policy output VoipNM
!
interface FastEthernet0/1
description $FW_OUTSIDE$
ip address y.y.y.y 255.255.255.240 secondary
ip address x.x.x.x 255.255.255.240
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat outside
ip nat enable
no ip virtual-reassembly in
duplex full
speed auto
no cdp enable

ip nat pool NATE y.y.y.y y.y.y.y netmask 255.255.255.240
ip nat inside source route-map NAT1 interface FastEthernet0/1 overload
ip nat inside source route-map NATE pool NATE overload
ip nat inside source static 172.17.7.220 y.y.y.y extendable
ip route 0.0.0.0 0.0.0.0 [Gate_PROV]
!
ip access-list extended SDM_AH
permit ahp any any
ip access-list extended SDM_ESP
permit esp any any
ip access-list extended SDM_GRE
permit gre any any
ip access-list extended SDM_HTTPS
remark CCP_ACL Category=1
permit tcp any any eq 443
ip access-list extended SDM_IP
remark SDM_ACL Category=17
permit ip any any
ip access-list extended SDM_SHELL
remark CCP_ACL Category=1
permit tcp any any eq cmd
ip access-list extended SDM_SSH
remark CCP_ACL Category=1
permit tcp any any eq 22
!
logging trap debugging
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 23 permit 172.16.0.0 0.0.255.255
access-list 23 permit 172.17.0.0 0.0.255.255
access-list 100 remark CCP_ACL Category=128
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
access-list 102 remark CCP_ACL Category=128
access-list 102 permit ip any any
access-list 103 deny   ip 172.17.0.0 0.0.255.255 172.16.0.0 0.15.255.255
access-list 103 permit ip host 172.17.7.30 any
access-list 103 permit ip host 172.17.15.30 any
access-list 103 permit ip host 172.17.7.74 any
access-list 103 permit ip host 172.17.7.93 any
access-list 103 permit ip host 172.17.0.11 any
access-list 104 deny   ip 172.17.0.0 0.0.255.255 172.16.0.0 0.15.255.255
access-list 104 permit ip host 172.17.1.1 any
access-list 104 permit ip any host y.y.y.y
access-list 104 permit ip host 172.17.7.220 any
access-list 104 permit ip any host 172.17.1.1
access-list 104 permit ip host y.y.y.y any
access-list 105 remark Shape VOIP traffic
access-list 105 permit ip host 172.16.0.201 host 172.17.0.10
access-list 105 permit ip host 172.17.0.10 host 172.16.0.201
access-list 105 permit ip host 172.16.0.201 host 172.17.8.10
access-list 105 permit ip host 172.17.8.10 host 172.16.0.201

route-map NATE permit 1
match ip address 104
!
route-map NAT1 permit 1
match ip address 103

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ip nat inside source static  И zbf"  +/
Сообщение от Gromophon (ok) on 01-Июн-12, 02:53 
>> Уважаемые кошководы и им подобные. На isr 2811 IOS 15.1(4)M1 C2800NM-ADVENTERPRISEK9-M
>> настраиваю проброс извне на внутренний хост в сети. При этом имеется
>> zbf, при его отключении все работает нормально, какие взаимодействия между зонами
>> используются при работе ip nat inside source static? Уже поставил и
>> в out-self и в out-in разрешающее все на эти ip ,
>> как на внутренний, так и на внешний, и ничего не работает,
>> при том что self-out разрешено практически все, in-out также.
> Покажите конфигу.

Да на интерфейсах конечно стоит
interface FastEthernet0/0
zone-member security in-zone

interface FastEthernet0/1
zone-member security out-zone

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру