Привет, незнакомец!

Похоже, вы здесь новенький. Чтобы принять участие, нажмите одну из кнопок ниже!

NAT и я

отредактировано сентября 2016 Раздел: Обучение
Здравствуйте.
Вопрос не связан с продакшеном, а только для себя, пробую разобраться.
Так вот, ИП 33.3.3.3 запрещён для выхода с помощью ACL на R1 интерфейс tunnel 0 на out
101 deny host 33.3.3.3 any
101 permit ip any any

Скажите, пожалуйста, при конфигурации ip nat inside source static 33.3.3.3 33.3.3.4
1 - Kакой интерфейс я должен ставить ip nat inside, а какой ip nat outside при условии, что роутер у меня внутри моей сети? Как понять где внешняя сеть, а где внутренняя? в каких случая пишется ip nat inside, а в каких ip nat outside?
2- При выводе команды ip nat translation после каждого пинга с роутера (одного и того же) с ИП 33.3.3.3 у меня появляется новая трансляция NAT, так и должно быть?

R1#sho ip nat tran
Pro Inside global Inside local Outside local Outside global
icmp 33.3.3.4:87 33.3.3.3:87 192.168.2.1:87 192.168.2.1:87
icmp 33.3.3.4:88 33.3.3.3:88 192.168.2.1:88 192.168.2.1:88
icmp 33.3.3.4:89 33.3.3.3:89 192.168.2.1:89 192.168.2.1:89
--- 33.3.3.4 33.3.3.3 --- ---
R1#


картинка https://yadi.sk/i/yFsHf77junzis
Тэги темы:

Комментарии

  • 1) NAT Inside - это интерфейс, куда приходит трафик, который должен быть заначен (до трансляции). NAT Outside - трафик после процедуры NAT. В вашем случае интерфейс с адресом 33.3.3.1 - nat inside, а вот насчёт outside не уверен, у вас там маршрутизация простая, насколько я понял. Вообще в случае NAT лучше разобраться с тем, что такое inside local/global, outside local/global.
    2) Каждая трансляция у вас идёт по разным портам, так что да, так и должно быть.
    ЗЫ: схема для изучения NAT какая-то странная. :)
  • отредактировано сентября 2016
    И, получается, можно так перебивать IP источника у входящего пакета на любой IP (и адрес назначения?), а не только на тот, который доступен на роутере? Ведь у меня получается, что IP 33.3.3.4 нет на самом деле...

    п.с. схема такая, потому что пробовал VPN настраивать и решил на ней же НАТ попробовать
  • Да, адреса src и dst можно менять на любые другие адреса.
  • Спасибо
Войдите или Зарегистрируйтесь чтобы комментировать.