一.說明
處理一故障,一台主機在思科路由器上做了一對一的靜态NAT,從外面能正常通過NAT後的位址ssh登入該裝置,但是該主機發送syslog,出來的位址卻不是靜态NAT後的位址,為路由器接口的位址。
二.原因
經過檢視路由器的配置,除了做了靜态NAT配置,還做了動态PAT的配置,但是動态配置ACL在前面增加該主機映射的内網位址的deny後,仍然沒有效果。登入裝置之後,才發現,映射的内網位址,其實是網卡的浮動位址,因為主機主動與外界通訊,不會以浮動位址作為源位址,是以該位址出去時做PAT。
三.解決方法
1.假定:
内網浮動位址:172.16.1.2
内網實際位址:172.16.1.1
内網浮動位址對外一對一映射的全局位址:10.101.16.1
接收syslog的主機位址:10.102.1.1
2.保留原有的虛位址的靜态一對一的nat
ip nat inside source static 172.16.1.2 10.101.16.1
2.修改原有的PAT配置,增加首先拒絕syslog出去的包
ip access-list extended pat
deny udp host 172.16.1.1 host 10.102.1.1 eq syslog
permit ip any any
ip nat inside source list pat interface GigabitEthernet0/0 overload
3.增加PAT配置,全局位址的位址池位址為内網浮動位址映射的全局位址
ip access-list extended outpat
permit udp host 172.16.1.1 host 10.102.1.1 eq syslog
ip nat pool outpatpool 10.101.16.1 10.101.16.1 netmask 255.255.255.0
ip nat inside source list outpat pool outpatpool overload
本文轉自 碧雲天 51CTO部落格,原文連結:http://blog.51cto.com/333234/1965865,如需轉載請自行聯系原作者
![vulnhub DC-4靶機實戰0X01 環境部署[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)