[Ivan Rostovikov]

interface GigabitEthernet0/0

description UpStream

ip address 123.123.59.45 255.255.255.252

ip nat outside

interface GigabitEthernet0/3

description DownStream

ip address 124.124.238.253 255.255.255.252

ip nat inside

 

ip route 125.125.51.0 255.255.255.0 Null0 20

ip route 126.126.108.0 255.255.254.0 Null0 20

 

ip nat translation timeout 20

ip nat translation tcp-timeout 120

ip nat translation udp-timeout 60

ip nat translation dns-timeout 80

ip nat translation icmp-timeout 10

ip nat translation max-entries 30000

ip nat translation max-entries all-host 300

ip nat pool TTK4 123.123.59.45 123.123.59.45 prefix-length 30

ip nat pool TTK++ prefix-length 24

address 125.125.51.0 125.125.51.255

address 126.126.108.0 126.126.108.255

ip nat inside source list 3 pool TTK++

ip nat inside source list 4 pool TTK4 overload

 

access-list 3 remark NAT-list1

access-list 3 deny 10.0.128.0 0.0.0.255

access-list 3 permit 10.0.0.0 0.0.255.255

 

access-list 4 remark NAT-list2

access-list 4 permit 10.1.124.21

access-list 4 permit 10.1.124.20

 

 

G0/0 - интернет

G0/3 - локалка.

Диапазоны:

address 125.125.51.0 125.125.51.255

address 126.126.108.0 126.126.108.255

это PA адреса от магистрала. Я использую их, что б "прикрывать" NAT.

Заметил, что за интерфейсом G0/3 (в локалке) регулярно появляются сесии типа:

10.0.0.1 -> 125.125.51.54 или 126.126.108.34 -> 10.0.0.10

т.е. каким то образом пакеты с внешними (НАТовскими) адресами проникни "внутрь". Хотя по идее они только "снаружи".

Пакеты эти замечены от utorrent.

 

Есть мысли ?

Изменено 20 ноября, 2008 пользователем Ivan Rostovikov

[leveler]

Вы sh ip nat trans покажите.

[Ivan Rostovikov]

Вот например сниф с локального интерфейса (G0/3)

# tcpdump -ni eth1 net 126.126.108.0/24

11:36:31.264250 IP 126.126.108.194.13454 > 10.0.16.44.49697: R 0:0(0) ack 3719953476 win 0

 

Трансляции в этот момент:

#show ip nat translations | inc 126.126.108.194

tcp 126.126.108.185:3000 10.0.9.25:3000 126.126.108.194:13454 126.126.108.194:13454

tcp 126.126.108.185:3005 10.0.9.25:3005 126.126.108.194:13454 126.126.108.194:13454

tcp 62.33.51.76:2235 10.0.12.192:2235 126.126.108.194:13454 126.126.108.194:13454

tcp 195.2.239.53:49693 10.0.16.44:49693 126.126.108.194:13454 126.126.108.194:13454

tcp 195.2.239.53:49695 10.0.16.44:49695 126.126.108.194:13454 126.126.108.194:13454

tcp 195.2.239.53:49697 10.0.16.44:49697 126.126.108.194:13454 126.126.108.194:13454

tcp 195.2.239.53:49698 10.0.16.44:49698 126.126.108.194:13454 126.126.108.194:13454

tcp 126.126.108.194:2265 10.0.20.69:2265 194.186.55.28:2041 194.186.55.28:2041

tcp 126.126.108.194:13454 10.0.20.69:13454 62.33.51.76:2235 62.33.51.76:2235

tcp 126.126.108.194:13454 10.0.20.69:13454 126.126.108.185:3000 126.126.108.185:3000

tcp 126.126.108.194:13454 10.0.20.69:13454 126.126.108.185:3005 126.126.108.185:3005

tcp 126.126.108.194:13454 10.0.20.69:13454 195.2.239.53:49693 195.2.239.53:49693

tcp 126.126.108.194:13454 10.0.20.69:13454 195.2.239.53:49695 195.2.239.53:49695

tcp 126.126.108.194:13454 10.0.20.69:13454 195.2.239.53:49697 195.2.239.53:49697

tcp 126.126.108.194:13454 10.0.20.69:13454 195.2.239.53:49698 195.2.239.53:49698

--- 126.126.108.194 10.0.20.69 --- ---

 

Последнюю строку вообще не пойму...

 

[Andrei]

Возможно поправить acl-и:

 

access-list 3 remark NAT-list1

access-list 3 deny 10.0.128.0 0.0.0.255

access-list 3 permit 10.0.0.0 0.0.255.255

access-list 3 deny ip any any

 

access-list 4 remark NAT-list2

access-list 4 permit 10.1.124.21

access-list 4 permit 10.1.124.20

access-list 4 deny ip any any

 

[UglyAdmin]

Последнее правило "deny ip any any" - в цисках есть по-умолчанию.

Если не нужна статистика попадания под это правило, то можно его не писать.