Доброго утра всем...
Пытаюсь сделать абсолютно тривиальную вещь, а не получается... )-:
Сразу скажу, что я не великий маг и волшебник в цисках, я только учусь (-:
До этого настраивал через SDM, выход в Интернет настроил, вроде работает, но всё равно у меня гораздо больше вопросов, чем ответов...
Суть вот в чём... Поднял на FE1 PPPoE подключение к провайдеру, весь офис работает вроде, всё хорошо. В сети есть машинка с FreeBSD, на которой крутится почта, прокся и т.п. Прежде чем подключить ещё одну линию, я решил для начала настроить доступ из вне к данной машинке: ну там ssh, smtp и т.п. Как попроще, сначала решил настроить ssh. И вот хоть убейте - не получается нифига, казалось бы, что может быть проще?! Но где-то моих мозгов не хватает всё-таки...Во вложении мой стартовый конфиг, который я как-то записал, и он работает... сделан исключительно из SDM, ничего руками я не вносил... некоторые строчки мягко говоря меня вообще в ступор вводят...
Перелопатил уйму сайтов, читал, пытался делать и ничего... )-:
Вот в частности ссылка:
http://www.ifm.net.nz/cookbooks/nat.htmlНо вот когда я добавляю указанные строчки, а именно:
ip access-group 101 in в Dialer0
access-list 101 permit tcp any any eq 22
ip nat inside source static tcp 10.10.10.3 22 interface dialer0 22то работать перестаёт даже то, что сейчас работает ))))-:
Причём указанный пермит я ставлю самым первым...
Насколько я понимаю, то всё должно быть просто: пришёл пакет на внешний интерфейс по 22-му порту, то его просто надо перенаправить на адрес моего внутреннего сервака, т.е. 10.10.10.3. И ведь где-то что-то не доразрешил или перезапретил...Был бы очень признателен, если бы кто-то мне помог и подсказал, что и где удалить, добавить, заменить...
Заранее премного благодарен за помощь! (-:
Мой конфиг, т.к. вложения почему-то запрещены:
Building configuration...
Current configuration : 6629 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname router
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200 debugging
logging console critical
enable secret 5 <secret>
!
no aaa new-model
!
resource policy
!
clock timezone PCTime 3
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
no ip source-route
!
!
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool sdm-pool1
import all
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
!
!
ip tcp synwait-time 10
no ip bootp server
no ip domain lookup
ip domain name domain.com.ua
ip ssh time-out 60
ip ssh authentication-retries 2
ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
!
!
crypto pki trustpoint TP-self-signed-2179960672
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2179960672
revocation-check none
rsakeypair TP-self-signed-2179960672
!
!
crypto pki certificate chain TP-self-signed-2179960672
certificate self-signed 01
3082024A 308201B3 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32313739 39363036 3732301E 170D3039 30343133 30383538
33315A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 31373939
36303637 3230819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100C6B1 8B0D3F42 BB357334 34C98845 8BD461F9 2B7024FB B98502FD 6BFF62E4
1704CF31 5ECF6E9F CE4AA645 9979AF0E ED919604 49077C53 690C50DF 4A7EDCB9
32ED0661 B25B0FCA 0F21D130 E10438E8 D4D374D9 915AF7FD EC9064D3 E4127689
F8376249 0926A5A9 E06544F3 5F177C12 49478E61 24507BFB FCB7E14A 5A95F89B
3E810203 010001A3 72307030 0F060355 1D130101 FF040530 030101FF 301D0603
551D1104 16301482 12726F75 7465722E 69746564 2E636F6D 2E756130 1F060355
1D230418 30168014 BEE75D0C 937D1D75 5F6FA311 B0FA7C2E BBCE7835 301D0603
551D0E04 160414BE E75D0C93 7D1D755F 6FA311B0 FA7C2EBB CE783530 0D06092A
864886F7 0D010104 05000381 81003F55 CE93C670 19FD9419 7D5979F5 A12CA3E9
55FDD4B0 F1CDC097 189DA2BE B21DDCF8 B50E2BBE CE25BF1A 3665471F B5234BAD
795268BA B8A10356 D2C67C56 670CE00D 784DD42B 4BD08DDA BDEB5E5A D9889791
112E5737 5808BBA1 C33CF114 67919EEB 42FF2CE1 6366C1F0 23D417D8 223A2247
5EAF6AE8 D132B361 A7B5C7E7 D6BC
quit
username <login> privilege 15 secret 5 <passwd>
!
!
!
!
!
!
interface FastEthernet0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
shutdown
duplex auto
speed auto
!
interface FastEthernet1
description $FW_OUTSIDE$$ETH-WAN$
no ip address
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-FE 2$$ES_LAN$$FW_INSIDE$
ip address 10.10.10.1 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1412
!
interface Async1
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
encapsulation slip
!
interface Dialer0
ip address negotiated
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname <login>
ppp chap password 7 <passwd>
ppp pap sent-username <login> password 7 <passwd>
!
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.10.10.0 0.0.0.255
access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 permit ip 89.209.XXX.0 0.0.0.255 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark auto generated by Cisco SDM Express firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 permit tcp any host 192.168.XX.210 eq 22
access-list 101 deny ip 10.10.10.0 0.0.0.255 any
access-list 101 permit icmp any host 192.168.XX.210 echo-reply
access-list 101 permit icmp any host 192.168.XX.210 time-exceeded
access-list 101 permit icmp any host 192.168.XX.210 unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
!
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
transport output telnet
line 1
modem InOut
stopbits 1
speed 115200
flowcontrol hardware
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
line vty 5 15
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 4000 1000
scheduler interval 500
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end