nat one-to-one

[damon]

Salve a tutti,

sono in possesso di un router isdn con collegamento flat ad ip dinamico, ho configurato la ethernet per stabilire una connessione punto punto con il fw (netscreen 5xp), dietro al fw ho la mia lan. Per il traffico in uscita non ci sono problemi, il fw natta la lan e il router a sua volta natta il firewall, il problema nasce quando devo creare una virtual port per es. per pubblicare una sito web. Sicuramente sul cisco dovrei inserire qualcosa tipo

Codice: Seleziona tutto

ip nat outside

in modo da creare una relazione statica con il fw.
Mi sapete dire il comando preciso da inserire ??

Grazie.

[TheIrish]

Per prima cosa, io indagherei sulla reale esigenza di mettere due NAT in cascata. E' un bello spreco di risorse e per di più rallenta inevitabilmente il traffico. Ora, visto che l'ip è uno solo, fossi io lascerei il NAT sul router e lo rimuoverei dal firewall.
Detto questo, mi sembra di aver capito che vuoi NATtare staticamente una porta.
L'istruzione tipo, utilizzando l'interfaccia WAN anziché l'indirizzo in quanto l'ip è dinamico, è:

Codice: Seleziona tutto

ip nat inside source static <protocollo> <ip privato> <porta> interface <interfaccia_wan> <porta>

Per esemplificare, ammettiamo un server web da "pubblicare" sull'indirizzo 192.168.1.50 e ammettiamo anche che la connessione avvenga attraverso un ipotetico dialer1:

Codice: Seleziona tutto

ip nat inside source static tcp 192.168.1.50 80 interface dialer1 80

Detto questo, permettimi di suggerirti di riflettere sulla questione del doppio nat.
Saluti

[damon]

Il doppio nat e' quasi un obbligo per poter usare il fw a dovere. Il fw dovrebbe terminare qualche vpn, in piu' dovrebbe consentirmi di creare delle virtual port (tipo il comando di "ip nat inside...." che mi hai suggerito) per poter pubblicare un server web o qualsiasi altra cosa.
Non avendo altri ip pubblici mi devo arrangiare con il doppio nat.