Otaku19 33 Geschrieben 4. Juli 2007 Melden Geschrieben 4. Juli 2007 schon versucht das permit das ich oben erwähnt habe in die liste einzubaun, sonst wären a ausschließlich die forwardings möglich und sonst nix. und dann eben das 2. Nat Statement rauswerfen Zitieren
yoghourt 10 Geschrieben 6. Juli 2007 Melden Geschrieben 6. Juli 2007 geht oooch nich. die config sieht jetzt so aus ip nat inside source list 101 interface Dialer1 overload ! access-list 101 permit ip any 192.168.125.0 0.0.0.255 access-list 101 permit tcp any range ftp-data 30 host 192.168.125.2 range ftp-data 30 Zitieren
Otaku19 33 Geschrieben 6. Juli 2007 Melden Geschrieben 6. Juli 2007 des kann a net gehn...bei ACL IMMER die allgemeinen Argumente zum schluss setzen, die "speziellen" am Anfang, die ACL wird ja von oben nach unten durchgeackert udn die erste Zeile die passt wird sofort verwendet ohne das noch weiter nach passenden zeilen gesucht wird Zitieren
yoghourt 10 Geschrieben 10. Juli 2007 Melden Geschrieben 10. Juli 2007 najut, habick so jemacht, jeeht och nich. ip nat inside source list 101 interface Dialer1 overload ip nat inside source list 102 interface Dialer1 overload access-list 101 permit tcp any range ftp-data 30 host 192.168.125.2 range ftp-data 30 access-list 102 permit ip 192.168.125.0 0.0.0.255 any hmmm, woran hakts denn bloss? Zitieren
rob_67 10 Geschrieben 10. Juli 2007 Melden Geschrieben 10. Juli 2007 Hi, bei der ACL 101 würde ich zumindest den source port offenlassen. matchen die acls? und ich glaube, deine acl 102 kommt nicht mehr zum zuge... gruss rob Zitieren
yoghourt 10 Geschrieben 10. Juli 2007 Melden Geschrieben 10. Juli 2007 hä? ich versteh nur bahnhof.... wie meinst du das mit "source port offen lassen"? und was mit "matchen die acls". könntest du das näher erläutern. 1000dank Zitieren
rob_67 10 Geschrieben 11. Juli 2007 Melden Geschrieben 11. Juli 2007 Hi, genau, der source port ist in der regel irgendein high port... matches siehst du bei show access-list, die zahl in der klammer gibt die zahl der treffer pro zeile an. steht nichts dahinter, matcht deine access-liste nicht... sh access-l 101 Extended IP access list 101 deny udp any any range snmp snmptrap deny icmp any any (3008 matches) deny ip 172.30.0.0 0.0.255.255 255.255.0.0 0.0.255.255 log (6 matches) permit ip any any (190084 matches) gruss rob Zitieren
adowoMAC 10 Geschrieben 11. Juli 2007 Melden Geschrieben 11. Juli 2007 Dazu bleibt zu sagen dass einige alte IOS Versionen diese "matches"-Anzeige nicht bereitstellen. Das kann einen schon irritieren wenn man sich wundert dass die ACL nicht zuschlägt, weil da einfach keine Zahlen auftauchen. Hendrik Zitieren
yoghourt 10 Geschrieben 12. Juli 2007 Melden Geschrieben 12. Juli 2007 Hi, genau, der source port ist in der regel irgendein high port... matches siehst du bei show access-list, die zahl in der klammer gibt die zahl der treffer pro zeile an. steht nichts dahinter, matcht deine access-liste nicht... sh access-l 101 Extended IP access list 101 deny udp any any range snmp snmptrap deny icmp any any (3008 matches) deny ip 172.30.0.0 0.0.255.255 255.255.0.0 0.0.255.255 log (6 matches) permit ip any any (190084 matches) gruss rob ja aber wo bringt mich das weiter? auch wegen dem offenen source port, was du zwei-drei posts zuvor vorgeschalgen hast. ich muss doch den source port definieren, weil doch auf dem die anfragen reinkommen. stimmt denn generell die syntax: access-list 101 permit tcp any range ftp-data 30 host 10.0.2.2 range ftp-data 30 ums nochmal klar zumachen: ich will das alles was auf meinem dialer interface 1 auf port 20 bis 30 reinkommt an die 192.168.125.2 ebenfalls auf port 20 bis 30 geleitet wird. anton Zitieren
yoghourt 10 Geschrieben 17. Juli 2007 Melden Geschrieben 17. Juli 2007 hmmm...fällt niemandem mehr etwas dazu ein? gruß anton Zitieren
rob_67 10 Geschrieben 17. Juli 2007 Melden Geschrieben 17. Juli 2007 Hi, dann probier doch 10 statische nat einträge á la ip nat inside de source static tcp 192.168.1.1 20 int dialer 0 20 ip nat inside source static tcp 192.168.1.1 21 int dialer 0 21 ... 192.168.1.1 wäre deine interne server ip. Die Source ports sind immer verschieden, dich interessieren nur die destination ports. Ansonsten wie es wordo schon beschrieben hat gruss rob Zitieren
rob_67 10 Geschrieben 18. Juli 2007 Melden Geschrieben 18. Juli 2007 Hi, der overload bei den statischen Einträgen muss weg! --> ip nat inside source list 101 interface Dialer1 dann poste nochmal show ip nat translations... dann schau, ob deine acl-s matchen gruss rob Zitieren
yoghourt 10 Geschrieben 19. Juli 2007 Melden Geschrieben 19. Juli 2007 das overload bekomm ich nicht weg. wenn ichs ohne eingeb stets trotzdem da... was mach ich falsch? anton Zitieren
rob_67 10 Geschrieben 19. Juli 2007 Melden Geschrieben 19. Juli 2007 Hi, vielleicht erst die ganze zeile löschen, dann nochmal eingeben?! gruss rob Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.