↑ Retornar para Problemas do mundo real

NAT de encaminhamento

Home Fórum Problemas do mundo real NAT de encaminhamento

Este tópico contém 9 respostas, possui 2 vozes e foi atualizado pela última vez por  zekkerj 3 anos, 4 meses atrás.

Visualizando 10 posts - 1 até 10 (de 10 do total)
  • Autor
    Posts
  • #188484

    Saulo
    Participante

    Boa tarde, prezados.

    Precisaria de ajuda de vocês com uma configuração de NAT de encaminhado (port forwading). A necessidade do meu cliente é que requisições nos IP’s 10.83.0.11 na porta TCP 80 e TCP 3389 seja redirecionado para o servidor com o ip real 172.1.0.75 nas mesmas portas, conforme configuração que eu fiz abaixo.

    ip nat inside source static tcp 172.1.0.75 3389 10.83.0.11 3389 extendable
    ip nat inside source static tcp 172.1.0.75 80 10.83.0.11 80 extendable

    O NAT está funcionando normalmente, porém depois que eu configuro o NAT, o ip real do servidor 172.1.0.75 para de responder as requisições e só o IP de NAT 10.83.0.11 passar à responder.

    Por alguma questão interna, o meu cliente quer que tanto o IP 172.1.0.75 e quanto o 10.83.0.11 responda. Isso seria possível? Tem alguma configuração que eu possa fazer no router para fazer funcionar dessa forma?

    0

    0
    #188485

    zekkerj
    Participante

    Olá Saulo,
    O mapeamento do NAT ocorre nas duas direções, tanto de outside pra inside, quanto de inside pra outside.

    Ou seja, o tráfego vindo de 172.1.0.75 está sendo traduzido pra 10.83.0.11, mesmo quando não foi traduzido na chegada.

    Eu vejo duas alternativas. Uma é adicionar esse IP ao servidor que vai ser acessado, assim vc não precisa do NAT.

    A outra é você mapear também o endereço de origem dos pacotes traduzidos, pra um IP reservado na tua rede (tipo, 1.1.1.1). Assim, na volta, vc sabe que apenas os pacotes de 172.1.0.75 pra 1.1.1.1 precisam ser mapeados de volta, e vc pode usar um route map (ou dois) pra filtrar quando fazer cada mapeamento.

    0

    0

    -----------------------------------------------------------------------------
    Receba Johrei e purifique seu Espírito.
    http://www.messianica.org.br/o-johrei.jsp

    #188486

    Saulo
    Participante

    Olá Zekkery,

    Muito obrigado pelo o seu retorno. Deixa eu ver se eu entendi bem: além da regra de nat que eu mencionei da outside para a inside, devo criar um nat estático vindo do ip 172.1.0.75 seja traduzindo de volta para o ip 10.83.0.11?

    ip nat inside source static 172.1.0.75 10.83.0.11

    O comando acima seria o correto?

    Reforço que o ip 172.1.0.75 não é um ip de WAN de um link de internet é um que ficando dentro da vlan de servidores, ja que quem for mandar requições tanto ip de NAT quanto IP real devem responder.

    0

    0
    #188489

    zekkerj
    Participante

    Não… isso vai “matar de vez” o endereço 172.1.0.75, do lado “outside”. Imaginei fazer algo assim:

    interface loopback111
    ip address 1.1.1.1 255.255.255.255

    ip nat outside source list NAT-ACL interface loopback111 overload

    ip access-list extended NAT-ACL
    permit tcp any host 10.83.0.11 eq 80
    permit tcp any host 10.83.0.11 eq 3389

    ip nat inside source static tcp 172.1.0.75 10.83.0.11 80 extendable route-map RTMAP

    route-map RTMAP permit 10
    ip address RTM-ACL

    ip access-list extended RTM-ACL
    permit ip host 1.1.1.1 host 10.83.0.11

    A ideia é marcar o endereço de origem dos pacotes quando eles forem destinados às portas que precisam ser redirecionadas. Daí, vc filtraria o nat estático pra só fazer mapeamento quando o endereço de origem for do da marcação.
    Não fiz teste pra garantir que funciona.

    1

    0

    -----------------------------------------------------------------------------
    Receba Johrei e purifique seu Espírito.
    http://www.messianica.org.br/o-johrei.jsp

    #188490

    Saulo
    Participante

    Olá, Zekkerj.

    Infelizmente não funcionou. Além disso não existe o comando de você especificar a route-map depois do extendable. Eu to começando à achar que isso é não possivel

    0

    0
    #188491

    zekkerj
    Participante

    O comando existe sim, apenas está invertido.
    ip nat inside source static tcp 172.1.0.75 10.83.0.11 80 route-map RTMAP extendable

    0

    0

    -----------------------------------------------------------------------------
    Receba Johrei e purifique seu Espírito.
    http://www.messianica.org.br/o-johrei.jsp

    #188493

    Saulo
    Participante

    Pois é, Zekkerj

    Corrigir os comandos, mas Infelizmente não funcionou 🙁

    0

    0
    #188494

    zekkerj
    Participante

    Tenta trabalhar alguma condição que vc consiga encontrar no tráfego que precisa sofrer NAT, e transforma em um route-map.

    0

    0

    -----------------------------------------------------------------------------
    Receba Johrei e purifique seu Espírito.
    http://www.messianica.org.br/o-johrei.jsp

    #188496

    Saulo
    Participante

    Me desculpa. Como assim? não entendi…

    0

    0
    #188497

    zekkerj
    Participante

    Como eu te falei… o problema é que o NAT está acontecendo em todo o tráfego indo ou vindo do endereço 172.1.0.75.
    Você precisa dar um jeito para que isso só aconteça para o tráfego que foi direcionado para o endereço 10.83.0.11.
    Sua solução é usar um route-map, mas é preciso encontrar uma condição que consiga identificar esse tráfego corretamente.

    0

    0

    -----------------------------------------------------------------------------
    Receba Johrei e purifique seu Espírito.
    http://www.messianica.org.br/o-johrei.jsp

Visualizando 10 posts - 1 até 10 (de 10 do total)

Você deve fazer login para responder a este tópico.