---

Hej!

Er der nogen her, som har en simpel config til en cisco dåse med 2
ethernet interfaces, hvor der f.eks. er public IP adresser på
ydersiden (/29 subnet), og der anvendes 172.16.1.0/24 på indersiden ?

Problemet er, at alt trafik indefra skal der laves PAT på til en
bestemt yderside-adresse - lige på nær en enkelt server (172.16.1.10),
som skal have 1:1 NAT (og åben for indgående trafik udefra til TCP
port 10000 og 3389) - samt selvfølgelig alt returnerende trafik, som
er etableret fra 172.16.1.10 ..

Kan nogen hjælpe ?

/Brian

---

"Brian Ipsen" <spammers@nowhere.net> wrote in message
news:giidpvc2a1p1gdiollge1qt04hgrsesnih@news.inet.tele.dk...
> Hej!
>
> Er der nogen her, som har en simpel config til en cisco dåse med 2
> ethernet interfaces, hvor der f.eks. er public IP adresser på
> ydersiden (/29 subnet), og der anvendes 172.16.1.0/24 på indersiden ?
>
> Problemet er, at alt trafik indefra skal der laves PAT på til en
> bestemt yderside-adresse - lige på nær en enkelt server (172.16.1.10),
> som skal have 1:1 NAT (og åben for indgående trafik udefra til TCP
> port 10000 og 3389) - samt selvfølgelig alt returnerende trafik, som
> er etableret fra 172.16.1.10 ..
>
> Kan nogen hjælpe ?
>
> /Brian
>
Denne konfig NAT'es der bag ethernet addressen på ydersiden.

interface ethernet 0
ip nat outside
!
interface ethernet 1
ip nat inside
!
ip nat inside source list 100 interface Ethernet0 overload
ip nat inside source static tcp 172.16.1.10 10000 X.X.X.X 10000 extendable
ip nat inside source static tcp 172.16.1.10 3389 X.X.X.X 3389 extendable
!
access-list 100 permit ip 172.16.1.0 0.0.0.255 any

X.X.X.X = yderside addresse

---

On Wed, 22 Oct 2003 22:05:03 +0200, "Dalgaard"
<newsATfamilien-dalgaard.dk> wrote:

>> Er der nogen her, som har en simpel config til en cisco dåse med 2
>> ethernet interfaces, hvor der f.eks. er public IP adresser på
>> ydersiden (/29 subnet), og der anvendes 172.16.1.0/24 på indersiden ?
>>
>> Problemet er, at alt trafik indefra skal der laves PAT på til en
>> bestemt yderside-adresse - lige på nær en enkelt server (172.16.1.10),
>> som skal have 1:1 NAT (og åben for indgående trafik udefra til TCP
>> port 10000 og 3389) - samt selvfølgelig alt returnerende trafik, som
>> er etableret fra 172.16.1.10 ..
>>
>> Kan nogen hjælpe ?

>Denne konfig NAT'es der bag ethernet addressen på ydersiden.
>
>interface ethernet 0
> ip nat outside
>!
>interface ethernet 1
> ip nat inside
>!
>ip nat inside source list 100 interface Ethernet0 overload
>ip nat inside source static tcp 172.16.1.10 10000 X.X.X.X 10000 extendable
>ip nat inside source static tcp 172.16.1.10 3389 X.X.X.X 3389 extendable
>!
>access-list 100 permit ip 172.16.1.0 0.0.0.255 any
>
>X.X.X.X = yderside addresse

Men laver den ikke PAT ?? Hvis nu en klient på indersiden (172.16.1.4)
skal på internettet, så får den også X.X.X.X på ydersiden - og det var
jo ikke meningen.... I en PIX501 ville jeg kunne lave det med

access-list outside_access_in permit tcp any gt 1024 host X.X.X.2 eq
3389
access-list outside_access_in permit tcp any gt 1024 host X.X.X.2 eq
10000
ip address outside X.X.X.1 255.255.255.248
ip address inside 172.16.1.1 255.255.255.0
static (inside,outside) X.X.X.2 172.16.1.10 netmask 255.255.255.255
300 600
access-group outside_access_in in interface outside
nat (inside) 1 172.16.1.0 255.255.255.0 0 0
global (outside) 1 interface

Hvordan ville det se ud i en IOS router ?

/Brian

---

Fiktivt subnet: 212.32.130.16 /29


interface ethernet 0
ip address 212.32.130.17 255.255.255.248
ip access-group 110 in
ip nat outside

nterface ethernet 1
ip nat inside

ip nat inside source list 100 interface Ethernet0 overload
ip nat inside source static 172.16.1.10 212.32.130.18

access-list 110 deny icmp any any echo
access-list 110 permit icmp any any
access-list 110 permit tcp any any established
access-list 110 permit tcp any host 212.32.130.18 eq 3389
access-list 110 permit tcp any host 212.32.130.18 eq 10000
access-list 110 permit udp any eq domain any
access-list 110 permit tcp any eq ftp-data any
access-list 110 deny ip any any


access-list 100 permit ip 172.16.1.0 0.0.0.255 any


/Rubeck

"Brian Ipsen" <spammers@nowhere.net> wrote in message
news:8inepvg0rufb4maop78rs44opnc1nf3qrm@news.inet.tele.dk...
> On Wed, 22 Oct 2003 22:05:03 +0200, "Dalgaard"
> <newsATfamilien-dalgaard.dk> wrote:
>
> >> Er der nogen her, som har en simpel config til en cisco dåse med 2
> >> ethernet interfaces, hvor der f.eks. er public IP adresser på
> >> ydersiden (/29 subnet), og der anvendes 172.16.1.0/24 på indersiden ?
> >>
> >> Problemet er, at alt trafik indefra skal der laves PAT på til en
> >> bestemt yderside-adresse - lige på nær en enkelt server (172.16.1.10),
> >> som skal have 1:1 NAT (og åben for indgående trafik udefra til TCP
> >> port 10000 og 3389) - samt selvfølgelig alt returnerende trafik, som
> >> er etableret fra 172.16.1.10 ..
> >>
> >> Kan nogen hjælpe ?
>
> >Denne konfig NAT'es der bag ethernet addressen på ydersiden.
> >
> >interface ethernet 0
> > ip nat outside
> >!
> >interface ethernet 1
> > ip nat inside
> >!
> >ip nat inside source list 100 interface Ethernet0 overload
> >ip nat inside source static tcp 172.16.1.10 10000 X.X.X.X 10000
extendable
> >ip nat inside source static tcp 172.16.1.10 3389 X.X.X.X 3389 extendable
> >!
> >access-list 100 permit ip 172.16.1.0 0.0.0.255 any
> >
> >X.X.X.X = yderside addresse
>
> Men laver den ikke PAT ?? Hvis nu en klient på indersiden (172.16.1.4)
> skal på internettet, så får den også X.X.X.X på ydersiden - og det var
> jo ikke meningen.... I en PIX501 ville jeg kunne lave det med
>
> access-list outside_access_in permit tcp any gt 1024 host X.X.X.2 eq
> 3389
> access-list outside_access_in permit tcp any gt 1024 host X.X.X.2 eq
> 10000
> ip address outside X.X.X.1 255.255.255.248
> ip address inside 172.16.1.1 255.255.255.0
> static (inside,outside) X.X.X.2 172.16.1.10 netmask 255.255.255.255
> 300 600
> access-group outside_access_in in interface outside
> nat (inside) 1 172.16.1.0 255.255.255.0 0 0
> global (outside) 1 interface
>
> Hvordan ville det se ud i en IOS router ?
>
> /Brian
>

---

"Kim Rubeck Jensen" <kim@SPAMrubeck.dk> wrote in message
news:3f977ad2$0$267$4d4eb98e@news.dk.uu.net...

> Fiktivt subnet: 212.32.130.16 /29
>
> interface ethernet 0
> ip address 212.32.130.17 255.255.255.248
> ip access-group 110 in
> ip nat outside
>
> nterface ethernet 1
> ip nat inside
>
> ip nat inside source list 100 interface Ethernet0 overload
> ip nat inside source static 172.16.1.10 212.32.130.18
>
> access-list 110 deny icmp any any echo
> access-list 110 permit icmp any any
> access-list 110 permit tcp any any established
> access-list 110 permit tcp any host 212.32.130.18 eq 3389
> access-list 110 permit tcp any host 212.32.130.18 eq 10000
> access-list 110 permit udp any eq domain any
> access-list 110 permit tcp any eq ftp-data any
> access-list 110 deny ip any any
>
>
> access-list 100 permit ip 172.16.1.0 0.0.0.255 any

Lige noget i den stil jeg søgte !!! - mange tak

/Brian

---

No Problemo.... Have fun using ACLs

/Rubeck


"Brian Ipsen" <bipsen@andebakken.dk> wrote in message
news:3f97d698$0$29347$edfadb0f@dread15.news.tele.dk...
> "Kim Rubeck Jensen" <kim@SPAMrubeck.dk> wrote in message
> news:3f977ad2$0$267$4d4eb98e@news.dk.uu.net...
>
> > Fiktivt subnet: 212.32.130.16 /29
> >
> > interface ethernet 0
> > ip address 212.32.130.17 255.255.255.248
> > ip access-group 110 in
> > ip nat outside
> >
> > nterface ethernet 1
> > ip nat inside
> >
> > ip nat inside source list 100 interface Ethernet0 overload
> > ip nat inside source static 172.16.1.10 212.32.130.18
> >
> > access-list 110 deny icmp any any echo
> > access-list 110 permit icmp any any
> > access-list 110 permit tcp any any established
> > access-list 110 permit tcp any host 212.32.130.18 eq 3389
> > access-list 110 permit tcp any host 212.32.130.18 eq 10000
> > access-list 110 permit udp any eq domain any
> > access-list 110 permit tcp any eq ftp-data any
> > access-list 110 deny ip any any
> >
> >
> > access-list 100 permit ip 172.16.1.0 0.0.0.255 any
>
> Lige noget i den stil jeg søgte !!! - mange tak
>
> /Brian
>
>