
Форумы > Технологии > Технические вопросы (железо)

Специалист по цискам

Список Тем | Поиск | Правила | Статистика |

Специалист по цискам	^#110468	^наверх
Автор: sasa_o Дата: 9 января 2008 19:11 Есть ли здесь люди, которые могут подсказать что-нибудь по настройкам маршрутизаторов cisco, а лучше, которые могут сказать посмотрев конфиг сказать что правильно, а что нет?
0/0 \| \| Поделиться:

Re: Специалист по цискам	^#110470	^наверх
Автор: smol Дата: 9 января 2008 19:39 Гадаю на перфокартах, снимаю сглаз с EFS-шифрованных файлов, заговариваю глючные видяшки, знаком с магией CISCO. ======================= ДОРОГО!
4/1 \| \| Поделиться:

Re: Специалист по цискам	^#110471	^наверх
Автор: BlackDeath[моцк] Дата: 9 января 2008 19:42 я магу
2/0 \| \| Поделиться:

Re: Специалист по цискам

^#110472

^наверх

Автор: sasa_o
Дата: 9 января 2008 19:46

Цитата:
От пользователя: BlackDeath

я магу

Цитата:
От пользователя: smol

Гадаю на перфокартах,
снимаю сглаз с EFS-шифрованных файлов,
заговариваю глючные видяшки,
знаком с магией CISCO.
=======================
ДОРОГО!

Сколько будет стоить помощь по cisco 851?

| Поделиться:

Re: Специалист по цискам	^#110473	^наверх
Автор: BlackDeath[моцк] Дата: 9 января 2008 19:47 вот есть же ася.. :-) дак нет, будем е1 юзать :-)
0/0 \| \| Поделиться:

Re: Специалист по цискам

^#110474

^наверх

Автор: sasa_o
Дата: 9 января 2008 19:51

Цитата:
От пользователя: BlackDeath

вот есть же ася.. :-) дак нет, будем е1 юзать :-)

Что-то молчит ася

| Поделиться:

Re: Специалист по цискам	^#110527	^наверх
Автор: get_maх Дата: 10 января 2008 10:42 конфиг в студию!
0/0 \| \| Поделиться:

Re: Специалист по цискам	^#110532	^наверх
Автор: Aleksey39 (О пользователе) Дата: 10 января 2008 11:06 show conf в студию :-)
0/0 \| \| Поделиться:

Re: Специалист по цискам	^#110638	^наверх
Автор: sasa_o Дата: 10 января 2008 18:40 Кусок конфига interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 description $ETH-WAN$$FW_OUTSIDE$ ip address 87.224.. 255.255.255.* ip access-group 100 in ip access-group sdm_fastethernet4_out out ip verify unicast reverse-path ip nat outside ip virtual-reassembly duplex auto speed auto ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$ ip address 10.12.4.2 255.255.255.0 ip access-group sdm_vlan1_in in ip access-group sdm_vlan1_out out ip inspect SDM_HIGH in ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! ip classless ip route 0.0.0.0 0.0.0.0 87.224.. ! ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ip nat pool qs 10.12.4.1 10.12.4.1 netmask 255.255.255.0 ip nat pool qs1 187.225.. 187.225.. netmask 255.255.255.* ip nat inside source list 1 interface FastEthernet4 overload ! ip access-list extended sdm_fastethernet4_out remark SDM_ACL Category=1 permit icmp any any permit ip host 87.224.. any permit tcp host 87.224.. eq www any eq www deny ip any any ip access-list extended sdm_vlan1_in remark SDM_ACL Category=1 permit udp host 10.12.4.1 any permit tcp host 10.12.4.12 eq www any eq www permit ip host 10.12.4.12 any permit icmp 0.0.0.0 255.255.255.0 any permit ip host 10.12.4.5 any permit tcp host 10.12.4.5 eq www any eq www deny ip any any ip access-list extended sdm_vlan1_out remark SDM_ACL Category=1 permit tcp any any permit icmp any any permit ip any any ! access-list 1 remark SDM_ACL Category=2 access-list 1 permit 10.12.4.0 0.0.0.255 access-list 100 remark auto generated by SDM firewall configuration access-list 100 remark SDM_ACL Category=1 access-list 100 permit tcp host 187.225.. host 87.224.. eq 3389 log access-list 100 permit icmp host 187.225.. host 87.224.. log access-list 100 permit udp host 87.224.. eq domain host 87.224.. access-list 100 permit udp host 87.224.. eq domain host 87.224.. access-list 100 permit icmp any host 87.224.. echo-reply access-list 100 permit icmp any host 87.224.. time-exceeded access-list 100 permit icmp any host 87.224.. unreachable access-list 100 deny ip 10.12.4.0 0.0.0.255 any access-list 100 deny ip 10.0.0.0 0.255.255.255 any access-list 100 deny ip 172.16.0.0 0.15.255.255 any access-list 100 deny ip 192.168.0.0 0.0.255.255 any access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip host 0.0.0.0 any access-list 100 deny ip any any log
0/0 \| \| Поделиться:

Re: Специалист по цискам	^#110643	^наверх
Автор: BlackDeath[моцк] Дата: 10 января 2008 19:36 а собственно где проброс портов ? или я не вижу че-то ?
0/0 \| \| Поделиться:

Re: Специалист по цискам

^#110748

^наверх

Автор: sasa_o
Дата: 11 января 2008 12:01

Цитата:
От пользователя: BlackDeath

а собственно где проброс портов ? или я не вижу че-то ?

ну если я правильно понимаю то это делается с помощью NAT
Пардон потерялась строчка
ip nat outside source static tcp 187.225.*.* 3389 10.12.4.1 3389 extendable

Заметил одну странность: после прописывания этой строчки отваливается машина 10.12.4.1 от сети, при попытке пингануть эту машину циска (не пойму, почему именно циска) отвечает "заданая сеть недоступна"

ничего не понимаю, что происходит?

| Поделиться:

Re: Специалист по цискам

^#110759

^наверх

Автор: get_maх Свой человек в форумах: 44

Дата: 11 января 2008 12:56

Ну с натом вроде в порядке.
можно попробовать строчку
ip nat inside source list 1 interface FastEthernet4 overload
заменить на
ip nat inside source list 1 pool qs1

уберите из конфига
ip virtual-reassembly
ни к чему он

Цитата:
От пользователя: SirAlex

при попытке пингануть эту машину

пингануть откуда?
у вас извне
access-list 100 permit icmp host 187.225.*.* host 87.224.*.* log
стоящий на вход из вне пинги пустит только из 187.225.*.* идущие в 187.225.*.*
изнутри:
permit icmp 0.0.0.0 255.255.255.0 any
как это так ваш SDM придумал непонятно.
чтоб разрешить пинги изнутри нужна команда
permit icmp 10.12.4.0 0.0.0.255 any

Цитата:
От пользователя: SirAlex

которые могут сказать посмотрев конфиг сказать что правильно, а что нет?

еслиб вы еще объяснили что не так и что требуется, то было бы проще.

287-309-665 если что.

1/0 | | Поделиться:

Re: Специалист по цискам	^#110803	^наверх
Автор: BlackDeath[моцк] Дата: 11 января 2008 18:19 блин, неуспел :-)
0/0 \| \| Поделиться:

Re: Специалист по цискам

^#111063

^наверх

Автор: sasa_o
Дата: 15 января 2008 10:47

Прошу прощения за задержку с ответом, вынужден был немного отойти от дел...

Цитата:
От пользователя: get_maх

пингануть откуда?
у вас извне
access-list 100 permit icmp host 187.225.*.* host 87.224.*.* log
стоящий на вход из вне пинги пустит только из 187.225.*.* идущие в 187.225.*.*
изнутри:
permit icmp 0.0.0.0 255.255.255.0 any
как это так ваш SDM придумал непонятно.
чтоб разрешить пинги изнутри нужна команда
permit icmp 10.12.4.0 0.0.0.255 any

Пингануть изнутри, изнутри пинги ходили, но все равно поменял permit icmp 0.0.0.0 255.255.255.0 any на permit icmp 10.12.4.0 0.0.0.255 any по вашему совету.

Проблема осталась, когда прописываем на роутере строку ip nat outside source static tcp 187.225.*.* 3389 10.12.4.1 3389 extendable машина 10.12.4.1 отваливается от сети.

| Поделиться:

Re: Специалист по цискам

^#111065

^наверх

Автор: sasa_o
Дата: 15 января 2008 10:50

Цитата:
От пользователя: get_maх

еслиб вы еще объяснили что не так и что требуется, то было бы проще.

Хотелось бы настроить проброс порта и прикрыть дыры из вне, если такие имеются в конфигурации.

| Поделиться:

Re: Специалист по цискам	^#111076	^наверх
Автор: get_maх Дата: 15 января 2008 14:28 ip nat inside source static tcp 187.225.. 3389 10.12.4.1 3389 extendable машина 10.12.4.1 так должон заработать статический PAT
0/0 \| \| Поделиться:

Список Тем | Поиск | Правила | Статистика |

Внимание! сейчас Вы не авторизованы и не можете подавать сообщения как зарегистрированный пользователь. Чтобы авторизоваться, нажмите на эту ссылку (после авторизации вы вернетесь на эту же страницу)