Da li radi kada pored udp dozvolis i tcp?

Da ne analiziram konkretan slucan, dodaj na kraju svake pristupne liste:



i mozes u log-u da ispratis da li ti lista sece nesto sto ne treba.

Blokirala si negde udp port 53.

Jel radi samo kad sklonis obe? Skloni samo prvu pa probaj. Inace, napisala si da ova druga treba da "usmerava" spoljne korisnike na odredjeni port... zar tu ne bi trebao port forward (ino ip nat inside source static...)?



Dodaj na drugu

permit tcp any any eq 53
permit udp any any eq 53

pa probaj. A najbolje je ovo sto ti kaze acatheking, stavi log pa vidi sta hvata konkretni acl.

Ubacila sam u obe liste i tcp protokol, ali ne radi i dalje, evo šta se dešava:

PC_Administratori1#ping facebook.com

Translating "facebook.com"...domain server (4.2.2.2) (8.8.8.8)
% Unrecognized host or address, or protocol not running.

Da li možda DNS protokol koristi i neki drugi port sem 53?

[quote]Aleksandar Đokić:
Blokirala si negde udp port 53.

Jel radi samo kad sklonis obe? Skloni samo prvu pa probaj. Inace, napisala si da ova druga treba da "usmerava" spoljne korisnike na odredjeni port... zar tu ne bi trebao port forward (ino ip nat inside source static...)?

Ja sam napravila jednu listu koja mi omogućava da prevodim privatne adrese iz sva četiri VLAN-a u javnu, evo liste:

Standard IP access list NAT_ADDRESS
10 permit 10.0.2.0, wildcard bits 0.0.0.255
20 permit 10.0.3.0, wildcard bits 0.0.0.255 (4 matches)
30 permit 10.0.4.0, wildcard bits 0.0.0.255
40 permit 10.0.5.0, wildcard bits 0.0.0.255

R#sh run | section nat
encapsulation dot1Q 1 native
ip nat inside
ip nat inside
ip nat inside
ip nat inside
ip nat outside
ip nat inside source list NAT_ADDRESS interface FastEthernet0/1 overload

E sada, pretpostavljam da ne treba da postoji lista za spoljne korisnike već npr. ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable , koja će samo da usmerava njih na portove na serverima. Jesam li u pravu?


<sub>[Ovu poruku je menjao Biljana2006 dana 10.02.2014. u 11:29 GMT+1]

[Ovu poruku je menjao Biljana2006 dana 10.02.2014. u 11:31 GMT+1]</sub>

Problem je ovde:

10 permit udp any 10.0.3.0 0.0.0.255 eq domain

Trebalo bi da bude:

10 permit udp any eq domain 10.0.3.0 0.0.0.255

Ako su operativni sistemi racunara u VLAN 3 ispravno podeseni, moze i:

10 permit udp any eq domain 10.0.3.0 0.0.0.255 gt 1023 

Kada racunari iz VLAN 3 salju DNS upite, 53/udp im je destination port, dok im je source port random (najcesce > 1023). Kada DNS server odgovara njemu je 53/udp source port. :-)
Istu izmenu treba da uradis i na acl 105.

E jos da smo pogledali malo bolje :)... u stvari zato sam joj i rekao da proba sa





Sta treba bolje da pitas mentora, da li treba da se omoguci pristup i na koji nacin. Da li je dovoljno to sto si ti uradila ili treba port forward (ja bih rekao da treba). U tom slucaju imas dva NAT-a, jedan je source overload nat (koji omogucava da vise privatnih izlazni preko jedne javne), a drugi je dstnat koji omogucava da sa javne preusmeris neki saobracaj na privatnu (npr kad pristupas na javnu sa odredjenim portom ustvari komunicira sa nekim racunarom tj serverom sa privatnom).

Mentor mi je samo rekao koliko se sećam da treba port forwarding, i da spoljni korisnici mogu samo da pristupe određenim portovima na serverima. To su zahtevi. E sada da li je dovoljno samo da ukucam npr. ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable, i time rešim preusmeravanje spoljnih korisnika sa javne na privatnu adresu i port na web serveru. Onda u stvari ne treba nikakva access lista da se stavi???
Nisam ovako nešto nikad radila, pa nisam sigurna kako to funkcioniše.

Dovoljno je, ali takodje ne smes zabraniti to slucajno nekom acl-om. Ja bih umesto javne stavio "interface".

Hvala na brzom odgovoru, probacu i ovo što mi je predložio B3R1:

permit udp any eq domain 10.0.3.0 0.0.0.255

pa javljam šta se desilo.

B3R1 je bio u pravu, kada sam stavila permit udp any eq domain 10.0.3.0 0.0.0.255, sve lepo radi i pinguje domain name. Hvala puno svima!!!