Configurazione NAT tra router blindato e PIX

[Maxwell]

Un amico ha una multigroup gestita da un router blindato e configurato dal suo provider. Mi ha chiesto di inserirgli tra la LAN ed il router un PIX 501, pubblicando due macchine della LAN su internet. Pensavo semplicemente di nattare due ip pubblici con due ip della lan del router, e quindi di nattare i due ip delle due macchine con i due ip della lan del router (o wan del firewall). L'amico pero' mi dice che il router e' blindato, ma per il suo intento non e' richiesta alcuna modifica di configurazione al router, perche' sarebbe sufficiente impostare come ip locale delle macchine direttamente quelli pubblici (???). Quanto dice e' per me alquanto astruso, ed io penso che un modo sia quanto segue:




ovvero come dicevo, impostando nat sul router:
80.80.80.2 <-> 10.10.10.3
80.80.80.3 <-> 10.10.10.4

e nat sul pix:
10.10.10.3 <-> 192.168.1.3
10.10.10.4 <-> 192.168.1.4

Questo pero' con il router blindato non so se riusciro' a realizzarlo. Sapete pero' se quanto lui mi dice sia possibile in qualche modo ?
Grazie

[Wizard]

La config del router andrebbe vista...
Immagino che il router in questione faccia nat, se è così occorre creare un doppio nat, sul router e sul pix (come dicevi tu) e quindi bisogna mettere le mani sul apparato "blindato".

[Maxwell]

La config del router andrebbe vista...
Immagino che il router in questione faccia nat, se è così occorre creare un doppio nat, sul router e sul pix (come dicevi tu) e quindi bisogna mettere le mani sul apparato "blindato".

Dunque ho postato prima questo messaggio, poi letto la tua risposta nell'altro topic http://www.ciscoforums.it/viewtopic.php?t=4563 in cui si tenta di configurare il pix 501 facendo direttamente nat sugli indirizzi pubblici. Anche li viene specificato che il router in tal caso non dovrebbe fare nat sulle varie richieste, e anche li ho fatto una domanda... questo per evitare che natti un ip che il pix utilizza per il server ? Scusami se ho ripetuto il tutto, se vuoi si continua solo da una parte :)

[Wizard]

Teniamo questo post come riferimento da ora in poi anche perchè l'altro post mi sembrava diverso (la eth del router del altro post ha un ip pubblico e quindi il nat lo gestisce solo il pix).

[Maxwell]

Teniamo questo post come riferimento da ora in poi anche perchè l'altro post mi sembrava diverso (la eth del router del altro post ha un ip pubblico e quindi il nat lo gestisce solo il pix).

Hmhm.. la eth del router configurata con ip pubblico e' condizione sufficiente affinchè il router non faccia nat ?

Quindi nel mio caso potrei evitare il doppio nat se la eth del router avesse un ip pubblico ?

[Wizard]

Se la eth del router ha un ip pubblico al 99% non fa nat.
Se la tua situazione presenta un ip pubblico nella int intena del rouer prova a fare le regole di nat direttamente dal pix (dai un ip pubblico anche alla ouside del pix però).

[Maxwell]

Se la eth del router ha un ip pubblico al 99% non fa nat.

Ok ti ringrazio, procedo prima nel verificare che cio sia la mia situazione. Avendo il router blindato spero abbia dhcp attivato, in questo modo dovrei farmi dare anche il suo ip.

Ora giusto per fissare un po le idee, perche' escludi che possa fare nat ? Voglio dire, pur avendo un ip pubblico quello dellla eth, perche non dovrebbe fare nat se.. aaaaaah ok, capito. Non fa nat perche gli ip della sua lan appartengono gia alla subnet degli ip pubblici.. o no ? :)

[Wizard]

Non fa nat perche gli ip della sua lan appartengono gia alla subnet degli ip pubblici.. o no ?

Si, ci può stare la tua risposta.
Tecnicamente potrebbe fare anche nat ma a livello logico (e a livello di icurezza) avrebbe poco senso!