Страница 1 из 1

Cisco - Пробрасываем порты из интернета внутрь сети

Добавлено: 29 май 2014, 16:41
RomA
Задача:
Необходимо прокинуть из сети интернет порт на сервер, установленный в локальной сети. Сделать это требуется для работы службы ДНС.

Почему так получилось:
Устанавливать сервер в сети интернет очень опрометчиво - есть люди, которым нравится создавать ботнеты и прочие слохие вещи, в которых может поучаствовать и ваш серер. Именно с этой мыслью вы будите засыпать каждый раз, когда установили новые ПО, или забыли поднять фарвол.
Для более спокойного сна админы придумали устанавливать сервера за некие сетевые экраны - в нашем случае это cisco, которая пропускает все соединения из нутри сети в интернет, а вот из интернета внутрь сети попасть нельзя. Таким образом сервер становится более защищенным, а админ более умиротворённым.
Но иногда возникают такие ситуации, как у нас сейчас...

Исходные данные:
Давайте прикиним схему сети и поймём что куда надо пустить
9p.jpg
Так же поясним что на нашей cisco уже работает NAT - это важно, так как именно через него и будет работать вся эта канитель. О том как настроить NAT есть отдельная статья.

Настройка:
Итак, самая короткая глава этой повести: идём в режим конфигурации и прописываем такие команды

Код: Выделить всё

Liski(config)#ip nat inside source static udp 192.168.40.2 53 213.129.127.149 53 extendable
Liski(config)#ip nat inside source static tcp 192.168.40.2 53 213.129.127.149 53 extendable
Где:
udp/tcp - тип трафика
192.168.40.2 - IP сервера внутри сети
53 - порт службы на сервере
213.129.127.149 - интернетовский IP cisco
53 - порт который будет светиться в сети интернет

Таким образом что бы прокинуть порт почты, достаточно выполнить такую команду

Код: Выделить всё

ip nat inside source static tcp 192.168.40.2 25 213.129.127.149 25 extendable