Cisco - Пробрасываем порты из интернета внутрь сети
Добавлено: 29 май 2014, 16:41
Задача:
Необходимо прокинуть из сети интернет порт на сервер, установленный в локальной сети. Сделать это требуется для работы службы ДНС.
Почему так получилось:
Устанавливать сервер в сети интернет очень опрометчиво - есть люди, которым нравится создавать ботнеты и прочие слохие вещи, в которых может поучаствовать и ваш серер. Именно с этой мыслью вы будите засыпать каждый раз, когда установили новые ПО, или забыли поднять фарвол.
Для более спокойного сна админы придумали устанавливать сервера за некие сетевые экраны - в нашем случае это cisco, которая пропускает все соединения из нутри сети в интернет, а вот из интернета внутрь сети попасть нельзя. Таким образом сервер становится более защищенным, а админ более умиротворённым.
Но иногда возникают такие ситуации, как у нас сейчас...
Исходные данные:
Давайте прикиним схему сети и поймём что куда надо пустить Так же поясним что на нашей cisco уже работает NAT - это важно, так как именно через него и будет работать вся эта канитель. О том как настроить NAT есть отдельная статья.
Настройка:
Итак, самая короткая глава этой повести: идём в режим конфигурации и прописываем такие команды
Где:
udp/tcp - тип трафика
192.168.40.2 - IP сервера внутри сети
53 - порт службы на сервере
213.129.127.149 - интернетовский IP cisco
53 - порт который будет светиться в сети интернет
Таким образом что бы прокинуть порт почты, достаточно выполнить такую команду
Необходимо прокинуть из сети интернет порт на сервер, установленный в локальной сети. Сделать это требуется для работы службы ДНС.
Почему так получилось:
Устанавливать сервер в сети интернет очень опрометчиво - есть люди, которым нравится создавать ботнеты и прочие слохие вещи, в которых может поучаствовать и ваш серер. Именно с этой мыслью вы будите засыпать каждый раз, когда установили новые ПО, или забыли поднять фарвол.
Для более спокойного сна админы придумали устанавливать сервера за некие сетевые экраны - в нашем случае это cisco, которая пропускает все соединения из нутри сети в интернет, а вот из интернета внутрь сети попасть нельзя. Таким образом сервер становится более защищенным, а админ более умиротворённым.
Но иногда возникают такие ситуации, как у нас сейчас...
Исходные данные:
Давайте прикиним схему сети и поймём что куда надо пустить Так же поясним что на нашей cisco уже работает NAT - это важно, так как именно через него и будет работать вся эта канитель. О том как настроить NAT есть отдельная статья.
Настройка:
Итак, самая короткая глава этой повести: идём в режим конфигурации и прописываем такие команды
Код: Выделить всё
Liski(config)#ip nat inside source static udp 192.168.40.2 53 213.129.127.149 53 extendable
Liski(config)#ip nat inside source static tcp 192.168.40.2 53 213.129.127.149 53 extendable
udp/tcp - тип трафика
192.168.40.2 - IP сервера внутри сети
53 - порт службы на сервере
213.129.127.149 - интернетовский IP cisco
53 - порт который будет светиться в сети интернет
Таким образом что бы прокинуть порт почты, достаточно выполнить такую команду
Код: Выделить всё
ip nat inside source static tcp 192.168.40.2 25 213.129.127.149 25 extendable