port forwarding op cisco 871

Post je config (in textformaat) eens zodra de regels erin staan? Kunnen wij even kijken wat er misgaat...

De benamingen die cisco gebruikt voor global local inside outside kunnen inderdaad verwarrend zijn. Je LAN is de inside kant van nat en zeker met statische dingen klinkt het wat vreemd omdat de sessie vanaf de andere kant (outside) geïnitieerd wordt.

Het is inderdaad een beetje omgekeerd denken.
Wat je in feite doet, is niet zozeer iets van buiten naar binnen laten, maar je maakt iets wat binnen zit aan de buitenkant bekend. Komt op hetzelfde neer, maar de tweede omschrijving komt meer overeen met de Cisco volgorde.

ip nat inside source static tcp <inside ip> <inside poort> <outside ip> <outside poort>

Je daat dus iets met het IP protocol natten wat zich aan de inside kant van de nat bevindt.
Van datgene gaan we het source adres natten (oftewel, bij verkeer wat naar buiten gaat vanaf dat ip wordt het source adres veranderd (destination adres kan ook, maar dat gaat voor nu ff te ver:P)).
We maken daarvoor een static rule aan (vaste koppeling dus) en maken gebruik van het tcp protocol. (udp is een andere optie; of ip, maar dan kun je geen poort nummers opgeven en nat je het hele ip adres (wat we nu doen is feitelijk niet natten maar patten (port adress translation)))
Vervolgens hoeven we alleen nog maar op te geven *welk* intern ip en intern poortnummer je wilt gaan vertalen, en wat dan vervolgens het extern ip en extern poortnummer moet worden. (En voor extern IP mag je ook een interface naam opgeven, om aan te geven dat hij het interface IP moet gebruiken)

See? een logisch verhaaltje, precies in de juiste volgorde van de regel zoals die in de Cisco moet worden opgegeven

(En als het niet helemaal duidelijk is wat hij nu als inside en als outside ziet; als je kijkt bij de interfacedefinities hebben die als het goed is een statement 'ip nat inside' of 'ip nat outside' staan. Je kunt dus ook meerdere inside en/of outside interfaces hebben)

[ Voor 7% gewijzigd door SambalBij op 16-12-2008 00:00 ]

ik krijg het niet voor elkaar

internetten werkt van binnen naar buiten, ik kan inloggen op alle computers vanaf wan

maar nu wil ik inloggen via rdp berken tot mijn eigen hosts die op wan zitten

zodra ik acces list 100 toepas op eth4 inbound , ligt internet plat.


This is the running config of the router: 10.0.0.138
!----------------------------------------------------------------------------
!version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname wetlipsrouter
!
boot-start-marker
boot-end-marker
!
logging buffered 52000 informational
!
no aaa new-model
clock timezone PCTime 0
!
crypto pki trustpoint TP-self-signed-3638933448
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3638933448
revocation-check none
rsakeypair TP-self-signed-3638933448
!
!
crypto pki certificate chain TP-self-signed-3638933448
certificate self-signed 01
3082024F 308201B8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 33363338 39333334 3438301E 170D3032 30333031 30303037
31355A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 36333839
33333434 3830819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100BFBF FA2D5751 BF1FB213 8AF2E84B 26DC9D9B 4C121C43 0F0FA60D AC14CF6C
5CA389D4 451DF5F0 67824C74 58F106E4 48FE5029 16C4B728 EB9BE0BF 55D002F5
B7AFF2E6 D8E09E36 5ACF78A4 4D605935 2178B538 A5D88B62 066C58CD 118D58FC
6294900C 66A0B33A 3FA58DF4 ED601C6A FC956266 D78EC6A7 F397DF63 83D870AE
87F90203 010001A3 77307530 0F060355 1D130101 FF040530 030101FF 30220603
551D1104 1B301982 17796F75 726E616D 652E796F 7572646F 6D61696E 2E636F6D
301F0603 551D2304 18301680 14214199 470368EA C69B9D03 2713593C 57BFB561
C7301D06 03551D0E 04160414 21419947 0368EAC6 9B9D0327 13593C57 BFB561C7
300D0609 2A864886 F70D0101 04050003 818100B5 75975E3B 7F33AC69 A1B0F644
6B0E23E5 B4B8CEDE DBE81013 2D27D160 322DD21A DBD21EED 7F89ECBD 135F6C16
FFFF2FF4 3D5A04E1 C46E3C76 9A105501 9198DA19 4EB58DFB CD713A67 1BFF1738
6E3E232A 87181C05 B235A0FA 01BF3118 3A1EBF8C 274D7B7E 26254EA5 AC70C6EC
65A26252 3A584AF4 52E866FF F466360D FB665F
quit
dot11 syslog
ip cef
!
!
!
!
no ip domain lookup
ip domain name wetlips.local
ip port-map user-inbellen port tcp from 3389 to 3396
!
multilink bundle-name authenticated
!
!
username wetlips privilege 15 secret 5 $1$TXGf$.TeTrQpotJdLCbCDOblDC/
!
!
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ETH-LAN$
ip address 10.10.10.1 255.255.255.0
ip nbar protocol-discovery
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 10.0.0.138 255.255.255.0
ip nbar protocol-discovery
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.10.10.138
!
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface FastEthernet4 overload
ip nat inside source static tcp 10.0.0.50 3396 interface FastEthernet4 3396
ip nat inside source static tcp 10.0.0.151 3395 interface FastEthernet4 3395
ip nat inside source static tcp 10.0.0.4 3390 interface FastEthernet4 3390
ip nat inside source static tcp 10.0.0.12 3391 interface FastEthernet4 3391
!
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.0.0.0 0.0.0.255
access-list 100 remark thuis in laten bellen
access-list 100 remark SDM_ACL Category=1
access-list 100 permit tcp host aa.xx.cc.cc range 3389 3396 any range 3389 3396
no cdp run
!
!
!
!
control-plane
!
banner login ^C
-----------------------------------------------------------------------
Cisco Router and Security Device Manager (SDM) is installed on this device.
This feature requires the one-time use of the username "cisco"
with the password "cisco". The default username and password have a privilege level of 15.

Please change these publicly known initial credentials using SDM or the IOS CLI.
Here are the Cisco IOS commands.

username <myuser> privilege 15 secret 0 <mypassword>
no username cisco

Replace <myuser> and <mypassword> with the username and password you want to use.

For more information about SDM please follow the instructions in the QUICK START
GUIDE for your router or go to http://www.cisco.com/go/sdm
-----------------------------------------------------------------------
^C
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end

Wat wil je nou precies. Als je deze acl inbound zet op je LAN interface
access-list 100 remark thuis in laten bellen
access-list 100 remark SDM_ACL Category=1
access-list 100 permit tcp host aa.xx.cc.cc range 3389 3396 any range 3389 3396

dan mag enkel de host aa.xx.cc.cc vanaf poort 3389 tot 3396 inloggen op remote systemen op poort 3389 3396

http://www.cisco.com/en/U...aper09186a0080091cb9.html

kan iemand mij vertellen waar SA en DA voor staat in dit dokument ?

Source address en destination address.

wat ik wil

dat ding begrijpen

verder

internetten vanaf vlan
inbellen beperken tot bepaalde wan hosts.

Wat nou inbellen je hebt nergens een telefoonlijn. Je wil dus enkel dat er bepaalde ip addressen (school/vrienden/famillie) toegang hebben tot die machine op je lokale lan.
Dan zet je op je uitgaande interface naar je lan de volgende ACL
access-list 100 remark thuis in laten bellen
access-list 100 remark SDM_ACL Category=1
access-list 100 permit tcp host aa.xx.cc.cc range 3389 3396 host interip range 3389 3396
access-list 100 permit tcp any any established
access-list 100 permit udp any eq 53 any

outbound ACL in dit geval

moet ik om de www verbinding met de inside hosts open te houden een acl lijst maken wan any op poort 80 ?

access-list 100 permit tcp any any established
Deze laat al het TCP verkeer wat geïnitieerd wordt door de clients op het LAN door als het terug komt. Je kan dat nog wat fancier doen met ip inspect maar dat is wat lastiger.

Voordat je weer op je donder krijgt gebruik de edit knop

[ Voor 20% gewijzigd door TrailBlazer op 17-12-2008 15:44 ]

dat kan enkel met een named access-list. Met een numbered access-list kan dat niet. Dit is gewoon iets wat historisch gegroeid is denk ik.

laat je ACL eens zien want dit is niet echt duidelijk. ACL aanpassen doe je als volgt.
Haal van de interface af.
Gooi de hele ACL weg.
Maak de nieuwe ACL aan.
Zet terug onder de interface.

Laat die translaties eens zien. Dat jij er niks van kan maken wil niet zeggen dat ik dat niet kan.
Om een access-list te wijzigen dus eerst no access-list 100 en dan alles weer plakken. Het is nu eenmaal niet anders ben ik bang.
Ik weet niet hoe RDP werkt maar ik denk dat die gewoon een random tcp poort gebruikt als source poort en niet de fixed poort die jij nu alleen maar toestaat.

[ Voor 59% gewijzigd door TrailBlazer op 18-12-2008 10:18 ]

ehm copy paste lijkt me.

hmm vreemd tik dit eens gewoon in

Wel via console graag

Hyperterminal waarschijnlijk.

De output die je hierboven ziet komt uit een reguliere telnet sessie, maar dan via 'code' tags. React maakt er vervolgens zo'n mooi veldje van