Cisco IOS þráðurinn

[gnarr]

Ég veit að það eru ekki margir sem að nota Cisco routera, þessvegna er svakalega erfit að komast í upplýsingar um það hvernig á að laga hinar ýmsu stillingar. Þessi þráður er fyrir okkur fáu Cisco áhugamennina sem að eru að fikta í þessu



Allaveganna.. fyrsta spurningin/vandamálið sem ég hef:

Ég er kominn inn í "Configure Terminal" og geri þar "no ip nat inside source static tcp 192.168.7.4 80 [utanhúss ip-talan] 80 extendable". Þá kemur routerinn með "Static entry in use, do you want to delete child entries? [no]:".
Auðvitað valdi ég "no", vegna þess að ég hef ekki hugmynd um hvað "child entries" er, og veit þar af leiðandi ekkert hvað ég er að gera.

Þannig að spurningin er, hvað er "child entries". Og hvað gerist ef ég geri "yes" ?

[natti]

Það er verið að vitna í þau translation entry / tengingar sem eru í gangi, hvort þú vilt rífa þær niður.

Í enable mode geturu gert show ip nat translation og séð allar nat tengingar sem eru virkar at the moment.
Gætir líka drepið viðkomandi tengingar með clear ip nat trans ... og síðan farið í configure mode og gert skipunina sem þú ætlaðir að gera.

[gnarr]

en hvað eru "Child entries"? Og afhverju spyr kerfið "do you want to delete child entries?" ??

Ég prófaði að gera yes við spurningunni, og þá tók það út fleiri nat heldur en bara það sem ég sagði því að taka.

[natti]

Ok, þú ert með eina skipun í routernum þínum til að opna fyrir port 80 inn á einhverja tölvu hjá þér.
Ef þú myndir gera í enable mode "show ip nat trans"
(router# show ip nat trans)
þegar engar tengingar eru í gangi, þá myndiru sjá eftirfarandi output:
tcp YTRI-TALA:80 192.168.7.4:80 --- ---

En um leið og einhver býr til tengingu inn á tölvuna þína, þá bætist við nýtt entry í translation töfluna (child entries).
Þannig að ef að t.d. gaur með ip 1.1.1.1 reynir að tengjast þá gæti "show ip nat trans" litið svona út:
tcp YTRI-TALA:80 192.168.7.4:80 1.1.1.1:2414 1.1.1.1:2414

where-as "2414" er source portið í tengingunni.
Fyrir hvern aðila sem reynir að tengjast inn til þín á port 80, þá bætist við ný svona translation.

Þegar þú svo gerir "no ip nat" skipunina sem þú ert að tala um, þá checkar routerinn fyrst hvort það séu einhverjar active tengingar í gangi (child entries) og ef svo er, þá er routerinn svo yndæll að bjóðast til að slökkva á þessum tengingum fyrir þig, sem er forsenda þess að hægt sé að taka út skipunina til að byrja með.

Ef þú segir "yes" við spurningunni, þá tekur það bara út þær tengingar sem eru tengdar þessu NATi, en tekur ekki út nein "fleiri" nat.

Ef þú segir "no" við spurningunni, þá þyrftiru að slökkva á öllum tengingum manually með "clear ip nat translation" skipuninni áður en þú gerir "no ip nat ..." aftur.


Ég vona að ég hafi komið þessu svona semi-skiljanlega frá mér.

[gnarr]

jú þetta var mjög skiljanlegt.

hisnvegar fékk ég næstum eeeendalausann lista þegar ég gerði "show ip nat trans".

Ég gerði "no ip nat inside source static tcp 192.168.7.4 80 [ytri tala] 80 extendable".

Við það fór það entry út, en líka annað entry sem var "ip nat inside source static tcp 192.168.7.4 80 [ytri tala] 1 extendable".

Hefuru einhverja skýringu á því? Það hefði valdið miklu veseni hefði ég ekki fattað þetta þannig séð strax

[natti]

Hms,
Hef svosem enga skýringu á því í fljótu bragði afhverju önnur nat lína fór út í leiðinni...
Hefuru prufað að setja þetta aftur inn og taka aftur út til að fullvissa þig um að þessi skipun sem þú gerðir hafi tekið hina út?

En já, "show ip nat tr" sýnir öll translation sem eru í gangi
Þú getur líka gert "show ip nat statistics" og þá sérðu m.a. hversu mörg translation eru í gangi
Total active translations: 16835 (16 static, 16819 dynamic; 16819 extended)

[gnarr]

Næsta mál

Mig langar til að blocka allann aðgang á ákveðna ip tölu frá netinu okkar.

"access-list 1 deny 192.168.7.0 0.0.0.255 [ip tala sem á að blocka]" ?? ætti þetta að virka? eða er eitthvað vitlaust hjá mér? er ekki rétt hjá mér að "access-list 1" blockar að notendur geti tengst út ?

[natti]

Næsta mál

Mig langar til að blocka allann aðgang á ákveðna ip tölu frá netinu okkar.

"access-list 1 deny 192.168.7.0 0.0.0.255 [ip tala sem á að blocka]" ?? ætti þetta að virka? eða er eitthvað vitlaust hjá mér? er ekki rétt hjá mér að "access-list 1" blockar að notendur geti tengst út ?

Það eru til nokkrar "tegundir" af access listum(ACL), en fyrir ip þá ertu bara að nota tvær týpur, standard (1-99) og extended (100-199).
ACL hefur engan sérstakan tilgang based á númeri, þ.e. access-list 1 blockar ekkert endilega að notendur geti tengst út.
Munurinn á standard og extended er að í extended geturu tekið fram tcp/udp, port númer, source+destination, en í standard geturu bara notað ip og ert bundinn við source.
Þannig að línan sem þú lagðir til "access-list 1 deny 192.168.7.0 0.0.0.255 [ip tala sem á að blocka]" myndi ekki virka, þar sem þú getur ekki bætt við neinu á eftir "0.0.0.255".

Svo eftir að þú býrð til ACL, þá gerir hann ekki neitt fyrr en eftir að þú ákvarðar hlutverk fyrir hann. Tildæmis með því að virkja hann á e-ð interface, inbound eða outbound.
Einnig verðuru að muna að allir ACL enda á explicit deny, þannig að ef þú gerir ekki amk eina permit línu þá er allt blocked

Dæmi:
Inbound interface (þar sem tölvurnar þínar eru) ethernet0
Outbound interface (internet?): atm0
netið þitt: 192.168.7.0/24
Tilgangur: stoppa alla pakka á 194.105.227.10

rúter# conf t
Búa til ACL
rúter(config)# access-list 100 deny ip 192.168.7.0 0.0.0.255 host 194.105.227.10
rúter(config)# access-list 100 permit ip any any
Virkja ACL á interface, getur valið á milli inbound á e0 eða outbound á atm0
rúter(config)# interface ethernet0
rúter(configi-if)# ip access-group 100 in
eða
rúter(config)# interface atm0
rúter(config-if)# ip access-group 100 out

Það er skynsamlegra að hafa þetta outbound á atm0, því ef þú ert með þetta á e0 og gerir einhverja vitleysu, þá læsiru sjálfan þig úti frá beininum.