Ivan Rostovikov Опубликовано 20 ноября, 2008 (изменено) · Жалоба interface GigabitEthernet0/0 description UpStream ip address 123.123.59.45 255.255.255.252 ip nat outside interface GigabitEthernet0/3 description DownStream ip address 124.124.238.253 255.255.255.252 ip nat inside ip route 125.125.51.0 255.255.255.0 Null0 20 ip route 126.126.108.0 255.255.254.0 Null0 20 ip nat translation timeout 20 ip nat translation tcp-timeout 120 ip nat translation udp-timeout 60 ip nat translation dns-timeout 80 ip nat translation icmp-timeout 10 ip nat translation max-entries 30000 ip nat translation max-entries all-host 300 ip nat pool TTK4 123.123.59.45 123.123.59.45 prefix-length 30 ip nat pool TTK++ prefix-length 24 address 125.125.51.0 125.125.51.255 address 126.126.108.0 126.126.108.255 ip nat inside source list 3 pool TTK++ ip nat inside source list 4 pool TTK4 overload access-list 3 remark NAT-list1 access-list 3 deny 10.0.128.0 0.0.0.255 access-list 3 permit 10.0.0.0 0.0.255.255 access-list 4 remark NAT-list2 access-list 4 permit 10.1.124.21 access-list 4 permit 10.1.124.20 G0/0 - интернет G0/3 - локалка. Диапазоны: address 125.125.51.0 125.125.51.255 address 126.126.108.0 126.126.108.255 это PA адреса от магистрала. Я использую их, что б "прикрывать" NAT. Заметил, что за интерфейсом G0/3 (в локалке) регулярно появляются сесии типа: 10.0.0.1 -> 125.125.51.54 или 126.126.108.34 -> 10.0.0.10 т.е. каким то образом пакеты с внешними (НАТовскими) адресами проникни "внутрь". Хотя по идее они только "снаружи". Пакеты эти замечены от utorrent. Есть мысли ? Изменено 20 ноября, 2008 пользователем Ivan Rostovikov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 21 ноября, 2008 · Жалоба Вы sh ip nat trans покажите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 21 ноября, 2008 · Жалоба Вот например сниф с локального интерфейса (G0/3) # tcpdump -ni eth1 net 126.126.108.0/24 11:36:31.264250 IP 126.126.108.194.13454 > 10.0.16.44.49697: R 0:0(0) ack 3719953476 win 0 Трансляции в этот момент: #show ip nat translations | inc 126.126.108.194 tcp 126.126.108.185:3000 10.0.9.25:3000 126.126.108.194:13454 126.126.108.194:13454 tcp 126.126.108.185:3005 10.0.9.25:3005 126.126.108.194:13454 126.126.108.194:13454 tcp 62.33.51.76:2235 10.0.12.192:2235 126.126.108.194:13454 126.126.108.194:13454 tcp 195.2.239.53:49693 10.0.16.44:49693 126.126.108.194:13454 126.126.108.194:13454 tcp 195.2.239.53:49695 10.0.16.44:49695 126.126.108.194:13454 126.126.108.194:13454 tcp 195.2.239.53:49697 10.0.16.44:49697 126.126.108.194:13454 126.126.108.194:13454 tcp 195.2.239.53:49698 10.0.16.44:49698 126.126.108.194:13454 126.126.108.194:13454 tcp 126.126.108.194:2265 10.0.20.69:2265 194.186.55.28:2041 194.186.55.28:2041 tcp 126.126.108.194:13454 10.0.20.69:13454 62.33.51.76:2235 62.33.51.76:2235 tcp 126.126.108.194:13454 10.0.20.69:13454 126.126.108.185:3000 126.126.108.185:3000 tcp 126.126.108.194:13454 10.0.20.69:13454 126.126.108.185:3005 126.126.108.185:3005 tcp 126.126.108.194:13454 10.0.20.69:13454 195.2.239.53:49693 195.2.239.53:49693 tcp 126.126.108.194:13454 10.0.20.69:13454 195.2.239.53:49695 195.2.239.53:49695 tcp 126.126.108.194:13454 10.0.20.69:13454 195.2.239.53:49697 195.2.239.53:49697 tcp 126.126.108.194:13454 10.0.20.69:13454 195.2.239.53:49698 195.2.239.53:49698 --- 126.126.108.194 10.0.20.69 --- --- Последнюю строку вообще не пойму... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 21 ноября, 2008 · Жалоба Возможно поправить acl-и: access-list 3 remark NAT-list1 access-list 3 deny 10.0.128.0 0.0.0.255 access-list 3 permit 10.0.0.0 0.0.255.255 access-list 3 deny ip any any access-list 4 remark NAT-list2 access-list 4 permit 10.1.124.21 access-list 4 permit 10.1.124.20 access-list 4 deny ip any any Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 21 ноября, 2008 · Жалоба Последнее правило "deny ip any any" - в цисках есть по-умолчанию. Если не нужна статистика попадания под это правило, то можно его не писать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...