NAT ip pubblico, eccetto telnet

[davide0522]

Salve
Ho un 837 presso un cliente che vuole che l'ip pubblico sia completamente nattato su un ip privato

Es 80.80.80.80 -> 10.0.0.3

Io metto per esempio
ip nat inside source static 10.0.0.3 80.80.80.80 extendable no-alias

Ma in questo modo mi taglio fuori dall'accesso telnet al router (essendo anche telenet nattato)

Come posso fare per dire: NATTA TUTTO TRANNE TELNET ?

Considerate che viene nattato tutto sul firewall, quindi non ci sono acl, filtri o altro.
Grazie per le risposte

[wetel]

Ciao,
secondo me la cosa migliore è configurare il router direttamente con ip pubblico, evitando i nat.
Leggi qui: http://www.ciscoforums.it/viewtopic.php?f=22&t=9823

[davide0522]

Grazie della risposta, ma quella configurazione presuppone che il mio ISP mi dia 1 IP sulla punto punto più una subnet di 4 IP (e in quel caso nel metto uno sul router e l'altro per il firewall)
Ma io vorrei poter ottenere di "pubblicare" l'apparato interno senza però precludermi l'accesso telenet al router, ma avendo disponibile 1 solo IP pubblico

[wetel]

Se usi le Policy NAT? Nella extended acl potresti indicare il range di porte da considerare/escludere.

[davide0522]

Ho spulciato un po' in gito e fatto una cosa del genere.
Non ho modo di testarla al momento, proverò domani...

Anche se non mi è chiaro il concetto di "rotary"
Su cui comunque applico una lista al cui interno nego telnet e consento tutto il resto

Dici che potrebbe funzionare ?

Codice: Seleziona tutto

interface Ethernet0
 ip address 10.0.0.2 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 hold-queue 100 out
!
!
interface ATM0
 no ip address
 atm vc-per-vp 64
 no atm ilmi-keepalive
 dsl operating-mode auto
 max-reserved-bandwidth 100
!
interface ATM0.1 point-to-point
 no snmp trap link-status
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface Dialer1
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 no ppp chap wait
 ppp pap sent-username aaa password aaa
 no ppp pap wait
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
!
no ip http server
no ip http secure-server
!
ip nat pool PORTFWD 10.0.0.3 10.0.0.3 netmask 255.255.255.0 type rotary
ip nat inside source list 102 interface Dialer1 overload
ip nat inside destination list 101 pool PORTFWD
!
access-list 23 permit 10.0.0.0 0.0.0.255
access-list 101 deny   tcp any any eq telnet
access-list 101 permit ip any any
access-list 102 permit ip 10.0.0.0 0.0.0.255 any
!

[wetel]

Io farei così:

Codice: Seleziona tutto

ip nat inside source static 10.0.0.3 80.80.80.80 route-map NAT extendable

access-list 110 deny tcp host  10.0.0.3 any eq 23
access-list 110 permit ip any any

route-map NAT permit 10
match ip address 110

[Braveheart84]

scusate, ma non si dovrebbe scrivere "permit" sull'ACL anziché "deny"?

[Rizio]

scusate, ma non si dovrebbe scrivere "permit" sull'ACL anziché "deny"?

Ma l'op nel primo post dice che vuole BLOCCARE il telnet facendo passare tutto perciò mi sembra che l'acl sia corretta così.

Rizio

[Braveheart84]

mhhh sicuro? A me non sembra!;)

[Rizio]

mhhh sicuro? A me non sembra!;)

Si, in effetti non è che sia proprio chiarissimo:

Ma in questo modo mi taglio fuori dall'accesso telnet al router (essendo anche telenet nattato)

Come posso fare per dire: NATTA TUTTO TRANNE TELNET ?

Mah, vabbè, speriamo che ce l'abbia fatta dai.

Rizio

[davide0522]

Ciao a tutti
Ho trovato tempo solo ora di ridedicarmi a questa cosa

Non è che voglio bloccare il telnet
Voglio praticamente nattare tutte le porte dell'ip pubblico su un device interno
Ma tenermi la sola porta telnet aperta per accedere al router.

[wetel]

Con la mia acl il nat trasla tutto tranne la 23.

[davide0522]

Ciao
Ho appena provato
In effetti la 23 non viene traslata (ho provato a montare un telnet server dall'altra parte e non ci arrivo, ed è corretto)
Ma nemmeno in telnet riesco a salire sul router.

Ho scoperto un altro problema
Il mio cliente, dietro, ha un vpn server e necessita che gli traslo il gre.
Ma non ho trovato niente a riguardo
Ovvero, alla fine stato facendo una pat per singole porte che richiedevano, ma non ho trovato un comando simile del tipo
ip nat inside suorce static gre

Detto questo penso che la cosa migliore sia che chiedo una subnet da 4 ip al provider a faccio il lavoretto pulito con un ip pubblico sulla lan e l'altro ip pubblico alla wen del fw

Che dite ? O vale la pena che ci smadonno un altro po ?

[wetel]

Sicuramente avere un apparato che non faccia nat su classi private è una soluzione ottimale.

[davide0522]

Aggiudicato. Fatto ordine per subnet 4 ip all'ISP
Certo in questo modo il firewall è pubblico puro e non ci sono rogne.
Resta un po' la curiosità ....

Grazie a tutti per il supporto comunque, siete stati gentilissimi !