- PR -

staticnatについて

1
投稿者投稿内容
未記入
会議室デビュー日: 2006/05/22
投稿数: 1
投稿日時: 2006-05-22 01:40
cisco1812J IOS12.4
で以下configにてスタティックNATの設定を行っています。

----------------------------------------------------------------------
interface FastEthernet1
no ip address
ip broadcast-address 0.0.0.0
ip virtual-reassembly
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1 dial-on-demand

interface Dialer1
ip address negotiated
ip mtu 1454
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1414
dialer pool 1
dialer idle-timeout 0
dialer-group 1
ppp authentication chap callin
ppp chap hostname xxxxxxxx
ppp chap password 0 xxxxxxxx

ip nat inside source list 150 interface Dialer1 overload
ip nat inside source static tcp 192.168.3.100 22 interface Dialer1 22

access-list 150 permit ip 192.168.1.0 0.0.0.255 any
access-list 150 permit ip 192.168.2.0 0.0.0.255 any
access-list 150 permit ip 192.168.3.0 0.0.0.255 any
----------------------------------------------------------------------

送信元内部ローカルアドレス 192.168.1.0,192.168.2.0,192.168.3.0(それぞれ/24にてvlan)
宛先内部グローバルアドレス(INTERNET上のアドレス)でアクセスすると
192.168.3.100(hostAとする) ではなく1812j(Dialer1インターフェイス?)自身が
sshに応答してしまい、スタティックNATが適用されていません。
(宛先 192.168.3.100 tcp22(ssh2) でアクセスした場合はhostAが応答します。)
外部(INTERNET)より同様にアクセスした場合は正常にNATされ、hostAが応答します。

内部から、グローバルアドレスに対してアクセスした場合のみ、正常にNATされません。

原因についてアドバイスお願いします。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-05-23 02:17
こんばんわ.

Cisco に詳しいわけではないのですが,
Linux の NAT でも同じような話が以前ありましたので.
引用:

未記入さんの書き込み (2006-05-22 01:40) より:

送信元内部ローカルアドレス 192.168.1.0,192.168.2.0,192.168.3.0(それぞれ/24にてvlan)
宛先内部グローバルアドレス(INTERNET上のアドレス)でアクセスすると
192.168.3.100(hostAとする) ではなく1812j(Dialer1インターフェイス?)自身が
sshに応答してしまい、スタティックNATが適用されていません。
(宛先 192.168.3.100 tcp22(ssh2) でアクセスした場合はhostAが応答します。)
外部(INTERNET)より同様にアクセスした場合は正常にNATされ、hostAが応答します。

内部から、グローバルアドレスに対してアクセスした場合のみ、正常にNATされません。


それは,「外部側の Interface に対して NAT の設定をしている」からでは?
external -> (global)router(local) -> target
と順で通信される場合,
external から router へは global と喋ると思いますが,
ここへ通信した場合(或いはここに設定された仮想 IP に通信した場合)に
target の local な IP address に NAT されると思います.
つまり,external 側の Interface と喋らないと NAT してくれないわけです.

internal から通信する場合,
NAT するように設定されていない Interface と喋ると,
NAT されずに通信しようとします.
とすると,Cisco の global 側の Interface が返事を返すのでは?

Cisco の NAT の機能が「全ての通信に適用される」のかわかりませんので,
回答としては正確を期していないと思いますが,
Linux 部屋などでも同様の話があって,なんどかやり取りしました.
要するに「外側にしか鍵穴が無いので内側から鍵は開けられません」
という意味です.

以上,ご参考までに.
1

スキルアップ/キャリアアップ(JOB@IT)