Cisco проброс портов через NAT
Рано или поздно у админа небольшой сети возникает необходимость сделать доступным из сети интернет какой-либо внутренний ресус. Скорей всего у компании будет всего один белый IP-адрес за которым работает NAT и раздаёт интернет во внутренней сети. Собственно про настройку NAT на Cisco я уже писал, а вот проброс портов не обсуждался. И так, рассмотрим схему сети небольшого офиса, в котором используется несколько внутренних серверов до которых необходимо дать доступ из вне локальной сети.
Как видно из схемы, доступ необходимо будет дать к почтовому серверу по портам 110/TCP (POP3 протокол) и 993/TCP (IMAP over SSL протокол), а так же к web-серверу по порту 80/TCP (HTTP). Проброс делается следующими командами:
!входим в конфигурирование gw-border# conf t !настраиваем пул адресов DHCP gw-border# ip nat inside source static tcp 10.1.1.22 25 interface fa4 25 gw-border# ip nat inside source static tcp 10.1.1.22 993 interface fa4 993 gw-border# ip nat inside source static tcp 10.1.1.8 80 interface fa4 80
После этого внешние порты будут проброшены на внутренние. При попытке зайти на внешний IP-адрес по этим портам мы попадаем внутрь сети на указанные сервера. Всё работает отлично.
Но у этого действия есть один серьёзный недостаток. Если в конторе работают WEB-дизайнеры, которые работают над созданием сайтов расположенных в их-же внутренней сети, то они никогда не попадут на эти сервера по внешнему IP-адресу. Они туда смогут попасть только по локальному адресу сервера.
Конечно, проблема данная не актуальна для многих, но если контора пишет сайты и размещает их у себя и хочет удостовериться в доступности сайта по его реальному имени, отдаваемому внешними ДНС серверами, то у них возникнет проблема. Ибо проверить доступность своего сайта по белому ИП-адресу из своей же подсети будет невозможно.
Так же есть возможность на самой циске поднять локальный ДНС который будет внутри сети подменять ИП-адреса, но тут возникает вопрос, какой-же ИП-адрес подсунуть. Если подсунуть ИП-адрес веб-сервера, то перестанет работать почтовый сервер, а если почтовый, то перестанет работать веб-сервер.
Обычное решение в таких случаях это замена циски на любой роутер от D-Link, они все поддерживают корректную работу с порт-редиректом. И внешние адреса становятся доступные изнутри сети.
Отредактировано:2020-09-10 19:39:42