protokol forwarding kroz router cisco 1601

[ gonzales77 @ 17.10.2006. 22:10 ] @

Posjedujem router cisco 1601. On je preko v 35 porta prikljucen na iznajmljenu liniju sa 16 stalnih IP adresa, a na ethernet portu na internu mrezu 192.168.10.0 u kojoj se nalazi SQL server na IP adresi 192.168.10.3 . Ip adresa na ciscovom ethernet portu je 192.168.10.1 , a IP adresa 192.168.10.2 je ip adresa JUNIPER netscreen firewalla koji dijeli ovu mrezu od moje interne mreze 10.10.0.0. Do sada je cisco proslijedjivao sve zahtjeve koji stignunjemu na JUNIPER firewall 192.168.10.2 Sada smo postavili SQL server kojem bi se pristupalo sa inernet stranice koja se nalazi na nekom WEB serveru van nase mreze. Htio bi da konfigurisem cisco tako da nastavi da propusta sav saobracaj na firewall 192.168.10.2, osim zahtjeva upucenih SQL serveru koje bi trebalo preusmjeriti na SQL server 192.168.10.3 (pretpostavljam preko porta TCP 1433). Ip addresa web stranice je recimo 90.90.90.90. Isto tako bi trebao promijeniti i IP adresu na serijskom portu jer smo sada dobili novi opseg adresa 90.65.71.228/28 do 90.65.71.242/28, a podmreza 255.255.255.240

TRENUTNA KONFIGURACIJA JE:

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service udp-small-servers
service tcp-small-servers
!
hostname CCC
!
logging buffered 4096 debugging
enable secret 5 $1$6xq0$DxxSAaDpqJ....
enable password xxxx
!
!
!
!
!
ip subnet-zero
!
!
!
!
interface Ethernet0
ip address 192.168.10.1 255.255.255.0
no ip directed-broadcast
ip nat inside
!
interface Serial0
ip address 90.65.95.218 255.255.255.252
no ip directed-broadcast
ip nat outside
!
ip nat inside source list 11 interface Serial0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 90.65.95.217
no ip http server
!
access-list 1 permit 10.10.0.2
access-list 1deny any
access-list 11 permit 192.168.10.2
!
line con 0
transport input none
line vty 0 4
access-class 1 in
password xxxx
login
!
end

_{[Ovu poruku je menjao optix dana 18.10.2006. u 09:52 GMT+1]}

[ bane980 @ 18.10.2006. 09:59 ] @

Dodaj ove komande postojecoj konfiguraciji.

Code:

ip nat inside destination list 12 pool sql
ip nat pool sql 192.168.10.3 192.168.10.3 netmask 255.255.255.0
access-list 12 permit 90.90.90.90
access-list 11 permit 192.168.10.3

[ gonzales77 @ 18.10.2006. 12:27 ] @

Ako zamijenim access-list 11 sta ce se desiti sa JUNIPER firewalom na adresi 192.168.10.2 koji dijeli ovu mrezu od moje interne mreze sa racunarima i kako da promijenim ip adresu na serijskom portu posto smo dobili novi pul od 16 ip adresa

[ bane980 @ 18.10.2006. 12:43 ] @

Nece se promijeniti nista, racunari iz interne mreze i dalje idu preko Juniper firewalla. I ne brises cijelu ACL samo dodas u nju jos jednu stavku. Ip adresu serijskog interfejsa mozes ovako promijeniti.

Code:

interface serial0
no ip address 90.65.95.218 255.255.255.252
ip address nova_IP_adresa subnet_maska

[ gonzales77 @ 18.10.2006. 20:50 ] @

Firma koja je postavila SQL bazu na server bi trebala da ima pristup tom serveru (192.168.10.3) preko, pa sam mislio da to odradimo preko windowsovog Remote assistance koji ide preko TCP porta 3389. S obzirom da oni nemaju stalnu IP adresu moze li se sav prokol koji ide preko tog porta preusmjeriti na SQL server 192.168.10.3 tako da kada oni ukucaju IP adresu na serijskom portu 90.65.71.229 dobiju kontrolu nad serverom.

[ optix @ 19.10.2006. 08:52 ] @

Zasto tom SQL serveru ne bi dodelio jednu od tih javnih adresa i zavrsio posao?

_{[Ovu poruku je menjao optix dana 19.10.2006. u 17:26 GMT+1]}

[ bane980 @ 19.10.2006. 09:01 ] @

Ova komanda bi trebala da proslijedi saobracaj po TCP portu 3389...
P.S. Nisam je isprobao..Poz

Code:
ip nat inside source static tcp 192.168.10.3 3389 interface serial0 3389

[ gonzales77 @ 20.10.2006. 13:43 ] @

Bane hvala puno na pomoci
Pozdrav

[ gonzales77 @ 21.10.2006. 15:56 ] @

Ono sa Remote assistance funkcionise ali ne znam kako da zbog vece sigurnosti prvo uspostavimo VPN pa tek onda da idemo sa Remote assistance. I kako da serveru u mrezi dodijelim jednu od tih stalnh ip adresa koje sam dobio od ISP-a, ako se nekad odlucim na to.

[ gonzales77 @ 21.10.2006. 16:13 ] @

Htio bi da snimim postojecu konfiguraciju cisco 1601 routera na hard disc. Znam da to treba preko TFTP, ali ne znam da li preko kozole, krosover kabla, kojom naredbom i slicno.

[ gonzales77 @ 21.10.2006. 16:19 ] @

Kako da proslijedim sve zahtjeve koji stizu sa interneta preko http porta na moj router cisco 1601 na server u internoj mrezi ip adrese 192.168.10.3

[ optix @ 21.10.2006. 19:28 ] @

Citat:

gonzales77: Htio bi da snimim postojecu konfiguraciju cisco 1601 routera na hard disc. Znam da to treba preko TFTP, ali ne znam da li preko kozole, krosover kabla, kojom naredbom i slicno.

Ako si konfiguraciju vec sacuvao (kao startup-config):

Code:

copy startup-config tftp

U sledecim koracima definisaces gde je tftp server (kojeg si digao na nekom racunaru) i sl.

Ako nisi sacuvao konfiguradicju, prvo to uradis komandom write memory. Na ruter si vec nakacen preko konzole.

Citat:

gonzales77: Kako da proslijedim sve zahtjeve koji stizu sa interneta preko http porta na moj router cisco 1601 na server u internoj mrezi ip adrese 192.168.10.3

Isto kao i za SQL...

Code:

!
ip nat inside source static tcp 192.168.10.3 80 interface Serial0 80
!

Ne moras postavljati novu temu za svako pitanje koje je vezano za ovu, pitaj ovde osim ako se bas nesto sustinski ne razlikuje.

Poz

_{[Ovu poruku je menjao optix dana 21.10.2006. u 21:05 GMT+1]}

[ gonzales77 @ 23.10.2006. 13:16 ] @

Ako bi htio u buducnosti da ovom ili nekom drugom serveru da zadam jednu od stalnih ip adresa koje sam dobio od ISP-a, kako bi to izveo.

[ optix @ 23.10.2006. 15:32 ] @

Pa najlakse je da je upises na samom racunaru, naravno.

Mada mozes i na ruteru da namestis da radi staticnu translaciju:

Code:

ip nat inside source static 192.168.10.3 javna_IP

Pozdrav

P.S. Ispravka, posto ti je ukljucen nat za eth0, ovo prvo resenje bas i nece raditi

Najlakse je onda drugo resenje. (ili da globalno iskljucis nat)

_{[Ovu poruku je menjao optix dana 23.10.2006. u 21:29 GMT+1]}

[ gonzales77 @ 25.10.2006. 12:22 ] @

Kada na web browseru ukucam ip adresu mog serijskog porta na ciscu, trebalo bi da se pokrene baza na SQL serveru. Pokusao sam da proslijedim protocole HTTP-80, SQL-1433, MY SQL SERVER-3306 na 192.168.10.3 ali nista se ne desava.
Nemogu nikako da proguram zahtjeve upucene sql serveru kroz cisco vjerovatno cu morati zadati sql serveru jednu od vanjskih ip adresa koje sam dobio od ISP-a, tako da kada u browseru ukucaju tu IP adresu idu direktno na SQL server.
Posto mi je na istom switchu i taj sql server 192.168.10.3, juniper firewall 192.168.10.2 i cisco 192.168.10.1 ako na mreznoj karti od sql servera stavim ip adresu npr. 90.65.71.229 nisam siguran kako bi to sve na kraju funkcionisalo.

[ optix @ 25.10.2006. 13:25 ] @

Obrati paznju da ako pokusavas SQL serveru da pristupis preko IP adrese koja je dodeljena serial0 interfejsu sa racunara unutar tvoje lokalne mreze takav zahtev ti nece proci. Ako pokusavas da mu pristupis sa neke druge (javne) mreze to je vec druga situacija, i onda nisi lepo odradio preusmeravanje.

Dakle, imas nekoliko resenja tvog problema. Jedno je da preusmeravas svaki port koji koristi SQL server, sa serial0 interfjesa na njega komandom:

Code:

ip nat inside source static tcp 192.168.10.3 1433 interface Serial0 1433

I za svaki drugi port koji ti treba na isti nacin, bilo da je tcp ili udp. Nisam dovoljan poznavalac SQL servera da bih ti rekao da li mu treba omoguciti pristup za jos neki port, ali preusmeravanje obavljas na ovaj nacin.

Sledeca opcija ti je da, koristeci NAT, staticki preusmeravas sve zahteve sa neke javne IP adrese koja ti je dodeljena na taj SQL server. Time si efektivno dodelio SQL serveru tu javnu adresu za sve zahteve koji dolaze spolja, a sam racunar ostaje na 192.168.10.3 adresi. Komanda za to je u prethodnoj poruci.

Naredna opcija je da potpuno iskljucis NAT i da uredjajima dodeljujes javne IP adrese. Ima tu i jos nekih pod-opcija, ali ovo su generalne. Mislim da ti je trenutno najlaksa druga opcija. Sva resenja su sigurnosno podjednako bezbedna ili nesigurna. ACL-om definises ko ima pristup kojem segmentu.

Pozdrav

_{[Ovu poruku je menjao optix dana 25.10.2006. u 14:39 GMT+1]}

[ gonzales77 @ 27.10.2006. 10:59 ] @

Iz nekog razloga server nije htio da prihvata konekcije preko porta 80. Kada smo na bazi promijenili ide preko porta 8080 i preusmjerili sve zahtjeve preko tog porta na 192.168.10.3 sve je proradilo. Sada u web browseru treba ukucati http://ip_adresa:8080 i konekcija radi. Mozda neko zna iz kojeg razloga nije htio da prihvata te konekcije ni iz interne ni iz vanjske mreze? U svakom slucaju sve radi. Pozdrav