Szia,
On 2015-02-12 08:37, Jozsef Cseber wrote:
kérdésem, hogy ezt, hogy oldjam meg? Privát hálózatból is el kell érni
a szervert (fájl, sql, stb) és az internet felől is (http, 80 -as
port)Standard sulinetes hálózatunk van, Cisco 892 -es router.
Ahol ilyen működik légyszíves írja le a főbb pontokat.Köszönöm!
ket megoldast tudok elkepzelni. Macerasabb (uzemeltetni es hasznalni
is) de talan egy fokkal biztonsagosabb, illetve egyszerubb (uzemeltetni
is es hasznalni is) de egy hajszalnyival kevesbe biztonsagos. VPN-hez
kotott hozzaferes, valamint sima port forward a ket megoldas.
A VPN-t (es a hozza kapcsolodo izolalt halozat letrehozasat) ha erdekel
kifejtem szivesen, vannak mellette egesz jo ervek, de valami azt sugja,
inkabb a port forward erdekel.
Mivel kiemelted a cisco 892-es routert, felteszem ehhez kersz
segitseget, hogy beallitsd. Cisco terminologiaban a port forward egy
statikus nat bejegyzes egy adott portra. A belso halozat jelenleg is
kijut, ezt a koznyelv NATolasnak hivja, de cisco terminologiaban ez
igazabol dinamikus nat / pat, mivel n:1 transzlacio (3. retegben)
valamint portszamok helyettesitese (4. retegben) is tortenik.
Ha megnezed, mar most is van tehat NAT szabaly a routeredben. Mmivel
uzemi kornyezetet nem masolunk be nyilvanos listaba, ezert inkabb az
otthoni teszt routerembol masolok be. Tok ugyanaz, es ha keresed a
sajat konfigodban, ez alapjan is megtalalod, max az interfesz nevek
lesznek masok. Az elnevezesek alapjan ertelemszeru, melyik interfesz
funkcioja mi, kiemeltem a lenyeges elemeket:
interface FastEthernet0/0
description LAN
ip address 192.168.X.1 255.255.255.240
ip access-group inside-in in
ip nat inside <<<<<<<<<<<<<
ip virtual-reassembly
load-interval 30
duplex auto
speed auto
!
interface FastEthernet0/1
description WAN
ip address 192.168.Y.1 255.255.255.240
ip nat outside <<<<<<<<<<<<<<<<<<<
ip virtual-reassembly
load-interval 30
duplex auto
speed auto
crypto map vpnmap
!
A ket megjelolt sor mondja meg, hogy NAT funkcio szempontjabol melyik
interfesz nez az internet fele (kulso) es melyik a belso halozat fele
(belso).
Mar most is kell legyen egy hasonlo bejegyzes a routeredben, kulonben
nem lenne a belso halozaton internet eleres:
ip nat inside source list nat_acl interface FastEthernet0/1 overload
Es ehhez tartozik egy ACL is, ami megmondja mit kell NATolni (illetve a
deny azt is, mit nem).
ip access-list extended nat_acl
deny ip [...]
deny ip [...]
deny ip [...]
permit ip 192.168.X.0 0.0.0.15 any
Ez tehat a kiindulasi alapod, nagyon hasonlo kell legyen nalad most is.
A megoldas tulajdonkeppen egyetlen sor a cisco configban:
ip nat inside source static tcp <belso IP> <belso port> interface <kulso
interfesz> <kulso port>
peldaul:
ip nat inside source static tcp 192.168.X.2 80 interface FastEthernet0/1
5000
Az interfesz helyett megadhatsz IP cimet is, nem kell a router sajat
cimet hasznalni. A portszam lehet 80 a kulso oldalon is, nem kell
feltetlenul 5000 legyen, az csak egy random szam. A fenti peldaban a
belso halozaton levo .2 ip cime 80-as portja lesz elerheto a router
kulso interfeszenek otezres portjan.
Ertelemszeruen az IP cimeket, interfesz neveket, ACL neveket majd
adaptalod a sajat halozatodnak megfeleloen.
udv
adam
_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
