problema nat

Configurazioni per connettività ADSL, ISDN e switch per privati e piccole network

Moderatore: Federico.Lagni

Rispondi
dns.poisoning
n00b
Messaggi: 11
Iscritto il: mar 02 set , 2008 7:57 am

ciao a tutti,
ho questo problema : il router (1751) non vuole saperne di inoltrarmi la porta 5000 e non sò perchè. da una scansione esterna, la porta risulta aperta, ma quando mi collego mi rifiuta la connessione. Ho provato a traslare la porta da 5000 interna a 80 esterna ma in quel caso mi apre la pagina del router.
se non erro il comando dovrebbe essere questo :

Codice: Seleziona tutto

ip nat inside source static tcp 192.168.1.1 5000 interface Dialer1 5000
lo stesso con cui inoltro le altre porte (mulo, torrent eccc..)

funziona tutto tranne questa !

comunque posto la configurazione :

Codice: Seleziona tutto

Current configuration : 2855 bytes
!
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
no service password-recovery
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 critical
enable secret 5 XXXX
enable password XXXX
!
no aaa new-model
ip cef
!         
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1 192.168.1.10
ip dhcp excluded-address 192.168.1.99 192.168.1.254
!
ip dhcp pool internal
   network 192.168.1.0 255.255.255.0
   dns-server 88.149.128.12 88.149.128.22 
   domain-name casa.mia
   default-router 192.168.1.254 
   lease infinite
!
!
no ip domain lookup
ip ddns update method sdm_ddns1
 HTTP
  add http://XXXX:[email protected]/nic/update?system=dyndns&hostname=<h>&myip=<a>
  remove http://XXXX:[email protected]/nic/update?system=dyndns&hostname=<h>&myip=<a>
!
vpdn enable
!         
!
!
!
crypto pki trustpoint tti
 revocation-check crl
 rsakeypair tti
!
!
username XXXX privilege 15 secret 5 XXXX
! 
!
!
!
interface Ethernet0/0
 no ip address
 no ip mroute-cache
 half-duplex
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface FastEthernet0/0
description $FW_INSIDE$
 ip address 192.168.1.254 255.255.255.0
 ip access-group 100 in
 ip nat inside
 ip virtual-reassembly
 no ip mroute-cache
 speed auto
 full-duplex
!
interface Dialer1
 description $FW_OUTSIDE$
 ip address negotiated
 ip access-group 101 in
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 no ip mroute-cache
 dialer pool 1
 dialer-group 1
 ppp authentication pap callin
 ppp pap sent-username XXXX password 0 XXXX
!
ip route 0.0.0.0 0.0.0.0 Dialer1
!         
ip http server
ip http authentication local
no ip http secure-server
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source static tcp 192.168.1.1 5000 interface Dialer1 5000
ip nat inside source static udp 192.168.1.1 7070 interface Dialer1 7070
ip nat inside source static tcp 192.168.1.1 1755 interface Dialer1 1755
ip nat inside source static tcp 192.168.1.1 55000 interface Dialer1 55000
ip nat inside source static udp 192.168.1.1 55000 interface Dialer1 55000
ip nat inside source static tcp 192.168.1.10 4662 interface Dialer1 4662
ip nat inside source static udp 192.168.1.10 4672 interface Dialer1 4672
!
access-list 1 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
 privilege level 15
password XXXX
 login local
 transport input ssh
!
ntp clock-period 17180038
ntp server 193.204.114.232 source Dialer1 prefer
ntp server 193.204.114.233 source Dialer1
end

Codice: Seleziona tutto

Top
TeCer
Cisco fan
Messaggi: 67
Iscritto il: sab 16 mag , 2009 5:28 pm

il tuo isp è fastweb?

http://www.nntp.it/comp-reti-locali/267 ... stweb.html
giorgio.fino*fastwebnet.it ha scritto:
>
> Può essere legato al NAT effettuato all'interno della MAN fastweb?

No, e' dovuto ad una serie di filtri che FW ha implementato da tempo
come misura contro la diffusione di worm sulla sua rete MAN -> sebbene
tali filtri comportino un lieve aumento della sicurezza utenti nella
rete FW, il loro scopo reale e' quello di evitare situazioni critiche di
impegno banda a livello globale di rete come avvenne p.es. con le
passate infezioni di Codered / Blaster / Gaobot su rete FW.

Sono pertanto bloccate le connessioni con IP MAN non appartenenti al
proprio pool utenza & aventi come porte di destinazione p.es. le
seguenti :
==
* TCP 135 -> RPC Portmapper
* TCP 139 -> NetBios
* TCP 445 -> CiFS/SMB
* TCP 5000 -> UPnP
==
ed altre porte TCP chiamate in causa dai worm sopracitati & affini.
Top
dns.poisoning
n00b
Messaggi: 11
Iscritto il: mar 02 set , 2008 7:57 am

No, no è fasweb, è NGI.
comunque non credo sia quello il problema, il router lo raggiungo dall'esterno, è lui che poi non natta sull'ip inteno.
Top
Rispondi

Torna a “Configurazioni End User”