аукцион / donate / услуги / RSS / распечатать / вход 
Мой мир
Вконтакте
Одноклассники

[6 июля 2015 | 10 июля 2015 | 15 июля 2015]

Cisco проброс портов через NAT

Рано или поздно у админа небольшой сети возникает необходимость сделать доступным из сети интернет какой-либо внутренний ресус. Скорей всего у компании будет всего один белый IP-адрес за которым работает NAT и раздаёт интернет во внутренней сети. Собственно про настройку NAT на Cisco я уже писал, а вот проброс портов не обсуждался. И так, рассмотрим схему сети небольшого офиса, в котором используется несколько внутренних серверов до которых необходимо дать доступ из вне локальной сети.

Диаграмма расположения компьютеров за NAT.

Как видно из схемы, доступ необходимо будет дать к почтовому серверу по портам 110/TCP (POP3 протокол) и 993/TCP (IMAP over SSL протокол), а так же к web-серверу по порту 80/TCP (HTTP). Проброс делается следующими командами:

!входим в конфигурирование
gw-border# conf t

!настраиваем пул адресов DHCP
gw-border# ip nat inside source static tcp 10.1.1.22 25 interface fa4 25
gw-border# ip nat inside source static tcp 10.1.1.22 993 interface fa4 993
gw-border# ip nat inside source static tcp 10.1.1.8 80 interface fa4 80

После этого внешние порты будут проброшены на внутренние. При попытке зайти на внешний IP-адрес по этим портам мы попадаем внутрь сети на указанные сервера. Всё работает отлично.

Но у этого действия есть один серьёзный недостаток. Если в конторе работают WEB-дизайнеры, которые работают над созданием сайтов расположенных в их-же внутренней сети, то они никогда не попадут на эти сервера по внешнему IP-адресу. Они туда смогут попасть только по локальному адресу сервера.

Конечно, проблема данная не актуальна для многих, но если контора пишет сайты и размещает их у себя и хочет удостовериться в доступности сайта по его реальному имени, отдаваемому внешними ДНС серверами, то у них возникнет проблема. Ибо проверить доступность своего сайта по белому ИП-адресу из своей же подсети будет невозможно.

Так же есть возможность на самой циске поднять локальный ДНС который будет внутри сети подменять ИП-адреса, но тут возникает вопрос, какой-же ИП-адрес подсунуть. Если подсунуть ИП-адрес веб-сервера, то перестанет работать почтовый сервер, а если почтовый, то перестанет работать веб-сервер.

Обычное решение в таких случаях — это замена циски на любой роутер от D-Link, они все поддерживают корректную работу с порт-редиректом. И внешние адреса становятся доступные изнутри сети.

Тэги: ИТ, Cisco

Отредактировано:2020-09-10 19:39:42


Этот сайт использует файлы cookies, чтобы упростить вашу навигацию по сайту, предлагать только интересную информацию и упростить заполнение форм. Я предполагаю, что, если вы продолжаете использовать мой сайт, то вы согласны с использованием мной файлов cookies. Вы в любое время можете удалить и/или запретить их использование изменив настройки своего интернет-браузера.

Сообщайте мне о замеченных ошибках на: web@orcinus.ru. Все пожелания и советы будут учтены при дальнейшем проектировании сайта. Я готов сотрудничать со всеми желающими. В некоторых случаях, мнение автора может не совпадать с мнением автора! Phone: +7-902-924-70-49.

Top.Mail.Ru
Top.Mail.Ru LiveInternet Rambler's Top100 Яндекс.Метрика