[es] - Računar pinguje IP adresu ali neće domain name

Biljana2006
student
Beograd

Član broj: 320071
Poruke: 21
*.dynamic.isp.telekom.rs.

Profil

Računar pinguje IP adresu ali neće domain name

^{09.02.2014. u 18:08 - pre 136 meseci}

Evo opet mene sa mojo topologijom.

Problem koji sada imam je taj što mi npr. VLAN3 kome pripadaju Administratori, pinguje npr. 4.2.2.2, tj. IP adresu, ali kad uradim ping ka npr. facebook.com ping ne prolazi. To mi se dešava nakon što sam stavila access listu na subinterfacu za administratore. Inače je sve lepo radilo. Evo moje access liste:

Extended IP access list 100
10 permit udp any 10.0.3.0 0.0.0.255 eq domain
20 permit udp any 10.0.3.0 0.0.0.255 eq bootps
30 permit tcp any 10.0.3.0 0.0.0.255 established
40 permit icmp any 10.0.3.0 0.0.0.255 echo-reply

Ova lista je stavljena u OUT smeru, evo i koda:

interface FastEthernet0/0.3
description Administratori VLAN
encapsulation dot1Q 3
ip address 10.0.3.1 255.255.255.0
ip access-group 100 out
ip nat inside
ip virtual-reassembly
no snmp trap link-status
end

Postoji i druga access lista koja je stavljena sa druge strane rutera kako bi spoljni korisnici koji pristupaju mreži bili usmereni samo na određene portove servera. Evo i nje:

Extended IP access list 105
10 permit udp any any eq domain
20 permit tcp any host 10.0.5.2 eq smtp
30 permit tcp any host 10.0.5.2 eq pop3
40 permit tcp any host 10.0.5.2 eq 143
50 permit tcp any host 10.0.5.3 eq www
60 permit tcp any host 10.0.5.3 eq 443
70 permit icmp any any

Ona je u IN smeru na interfacu rutera fa 0/1.

interface FastEthernet0/1
ip address 192.168.137.2 255.255.255.0
ip access-group 105 in
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
end

Kad sklonim ove liste, sve lepo radi, kad stavim samo pinguje po IP adresi. Jel ima neko ideju šta to može biti? Na računarima sam podesila DNS server sa adresom 4.2.2.2

Odgovor na temu

pajaja
Beograd

Administrator
Član broj: 41598
Poruke: 3430
*.dynamic.sbb.rs.

Jabber: pajaja@elitesecurity.org
ICQ: 253317269

+144 Profil

Re: Računar pinguje IP adresu ali neće domain name

^{09.02.2014. u 23:56 - pre 136 meseci}

Da li radi kada pored udp dozvolis i tcp?

_{xxx

mali mali mali kamičak...nebo plave boje.

In Memoriam: Madzone Zeka(15.09.2005-16.09.2005)}

Odgovor na temu

acatheking
Aleksandar Ristić
Beograd/Mirijevo

Član broj: 6769
Poruke: 1133
*.sbb.rs.

+28 Profil

Re: Računar pinguje IP adresu ali neće domain name

^{10.02.2014. u 08:06 - pre 136 meseci}

Da ne analiziram konkretan slucan, dodaj na kraju svake pristupne liste:

Code:
deny ip any any log

i mozes u log-u da ispratis da li ti lista sece nesto sto ne treba.

Volim da se vozim grackim autobusom.
Gracki autobus jede sitne pare,
gracki autobus zna kad treba stane.

Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
*.dynamic.isp.telekom.rs.

+638 Profil

Re: Računar pinguje IP adresu ali neće domain name

^{10.02.2014. u 09:25 - pre 136 meseci}

Blokirala si negde udp port 53.

Jel radi samo kad sklonis obe? Skloni samo prvu pa probaj. Inace, napisala si da ova druga treba da "usmerava" spoljne korisnike na odredjeni port... zar tu ne bi trebao port forward (ino ip nat inside source static...)?

Citat:

10 permit udp any 10.0.3.0 0.0.0.255 eq domain

Dodaj na drugu

permit tcp any any eq 53
permit udp any any eq 53

pa probaj. A najbolje je ovo sto ti kaze acatheking, stavi log pa vidi sta hvata konkretni acl.

Odgovor na temu

Biljana2006
student
Beograd

Član broj: 320071
Poruke: 21
*.dynamic.isp.telekom.rs.

Profil

Re: Računar pinguje IP adresu ali neće domain name

^{10.02.2014. u 09:32 - pre 136 meseci}

Ubacila sam u obe liste i tcp protokol, ali ne radi i dalje, evo šta se dešava:

PC_Administratori1#ping facebook.com

Translating "facebook.com"...domain server (4.2.2.2) (8.8.8.8)
% Unrecognized host or address, or protocol not running.

Da li možda DNS protokol koristi i neki drugi port sem 53?

Odgovor na temu

Biljana2006
student
Beograd

Član broj: 320071
Poruke: 21
*.dynamic.isp.telekom.rs.

Profil

Re: Računar pinguje IP adresu ali neće domain name

^{10.02.2014. u 10:08 - pre 136 meseci}

[quote]Aleksandar Đokić:
Blokirala si negde udp port 53.

Jel radi samo kad sklonis obe? Skloni samo prvu pa probaj. Inace, napisala si da ova druga treba da "usmerava" spoljne korisnike na odredjeni port... zar tu ne bi trebao port forward (ino ip nat inside source static...)?

Ja sam napravila jednu listu koja mi omogućava da prevodim privatne adrese iz sva četiri VLAN-a u javnu, evo liste:

Standard IP access list NAT_ADDRESS
10 permit 10.0.2.0, wildcard bits 0.0.0.255
20 permit 10.0.3.0, wildcard bits 0.0.0.255 (4 matches)
30 permit 10.0.4.0, wildcard bits 0.0.0.255
40 permit 10.0.5.0, wildcard bits 0.0.0.255

R#sh run | section nat
encapsulation dot1Q 1 native
ip nat inside
ip nat inside
ip nat inside
ip nat inside
ip nat outside
ip nat inside source list NAT_ADDRESS interface FastEthernet0/1 overload

E sada, pretpostavljam da ne treba da postoji lista za spoljne korisnike već npr. ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable , koja će samo da usmerava njih na portove na serverima. Jesam li u pravu?

_{[Ovu poruku je menjao Biljana2006 dana 10.02.2014. u 11:29 GMT+1]}

_{[Ovu poruku je menjao Biljana2006 dana 10.02.2014. u 11:31 GMT+1]}

Odgovor na temu

B3R1
Berislav Todorovic
NL

Član broj: 224915
Poruke: 853

+681 Profil

Re: Računar pinguje IP adresu ali neće domain name

^{10.02.2014. u 14:34 - pre 136 meseci}

Problem je ovde:

10 permit udp any 10.0.3.0 0.0.0.255 eq domain

Trebalo bi da bude:

10 permit udp any eq domain 10.0.3.0 0.0.0.255

Ako su operativni sistemi racunara u VLAN 3 ispravno podeseni, moze i:

10 permit udp any eq domain 10.0.3.0 0.0.0.255 gt 1023

Kada racunari iz VLAN 3 salju DNS upite, 53/udp im je destination port, dok im je source port random (najcesce > 1023). Kada DNS server odgovara njemu je 53/udp source port. :-)
Istu izmenu treba da uradis i na acl 105.

Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
*.dynamic.isp.telekom.rs.

+638 Profil

Re: Računar pinguje IP adresu ali neće domain name

^{10.02.2014. u 15:21 - pre 136 meseci}

E jos da smo pogledali malo bolje :)... u stvari zato sam joj i rekao da proba sa

Citat:

permit udp any any eq 53

Citat:

E sada, pretpostavljam da ne treba da postoji lista za spoljne korisnike već npr. ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable , koja će samo da usmerava njih na portove na serverima. Jesam li u pravu?

Sta treba bolje da pitas mentora, da li treba da se omoguci pristup i na koji nacin. Da li je dovoljno to sto si ti uradila ili treba port forward (ja bih rekao da treba). U tom slucaju imas dva NAT-a, jedan je source overload nat (koji omogucava da vise privatnih izlazni preko jedne javne), a drugi je dstnat koji omogucava da sa javne preusmeris neki saobracaj na privatnu (npr kad pristupas na javnu sa odredjenim portom ustvari komunicira sa nekim racunarom tj serverom sa privatnom).

Odgovor na temu

Biljana2006
student
Beograd

Član broj: 320071
Poruke: 21
*.dynamic.isp.telekom.rs.

Profil

Re: Računar pinguje IP adresu ali neće domain name

^{10.02.2014. u 16:42 - pre 136 meseci}

Mentor mi je samo rekao koliko se sećam da treba port forwarding, i da spoljni korisnici mogu samo da pristupe određenim portovima na serverima. To su zahtevi. E sada da li je dovoljno samo da ukucam npr. ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable, i time rešim preusmeravanje spoljnih korisnika sa javne na privatnu adresu i port na web serveru. Onda u stvari ne treba nikakva access lista da se stavi???
Nisam ovako nešto nikad radila, pa nisam sigurna kako to funkcioniše.

Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
*.dynamic.isp.telekom.rs.

+638 Profil

Re: Računar pinguje IP adresu ali neće domain name

^{10.02.2014. u 17:09 - pre 136 meseci}

Dovoljno je, ali takodje ne smes zabraniti to slucajno nekom acl-om. Ja bih umesto javne stavio "interface".

Odgovor na temu

Biljana2006
student
Beograd

Član broj: 320071
Poruke: 21
*.dynamic.isp.telekom.rs.

Profil

Re: Računar pinguje IP adresu ali neće domain name

^{10.02.2014. u 17:20 - pre 136 meseci}

Hvala na brzom odgovoru, probacu i ovo što mi je predložio B3R1:

permit udp any eq domain 10.0.3.0 0.0.0.255

pa javljam šta se desilo.

Odgovor na temu

Biljana2006
student
Beograd

Član broj: 320071
Poruke: 21
*.dynamic.isp.telekom.rs.

Profil

Re: Računar pinguje IP adresu ali neće domain name

^{11.02.2014. u 09:20 - pre 136 meseci}

B3R1 je bio u pravu, kada sam stavila permit udp any eq domain 10.0.3.0 0.0.0.255, sve lepo radi i pinguje domain name. Hvala puno svima!!!

Odgovor na temu