pix 515e e protocolli p2p (scusate ma proprio non capisco)

|nd|4nO · mar 03 lug , 2007 3:33 pm

salve a tutti,
espongo il mio problema devo permettere l'uso del p2p per poi limitarlo con un altra cosa dopo il firewall in oggetto ... ma succede che la mia rete interna ha, prendendo come esempio emule ma ho provato anche con altri, sempre le porte chiuse se viene nattata con una subnet 255.255.255.0 su un singolo ip pubblico o un pool , se invece natto un singolo host su un ip pubblico funziona tutto.
non ho modificato access list e niente !
qualche idea ? grazie
p.s. devo aprire il p2p per testare un filtro quindi non bannatemi !

andrewp · mar 03 lug , 2007 3:48 pm

Se NATTI poi devi fare un ulteriore "nat inside" con le porte che vuoi "aperte" da fuori...

|nd|4nO · mar 03 lug , 2007 4:17 pm

Andrea.Pezzotti ha scritto:Se NATTI poi devi fare un ulteriore "nat inside" con le porte che vuoi "aperte" da fuori...

praticamente io ho già fatto :

nat (inside) 9999 10.1.100.0 255.255.255.0
global (outside) 9999 ip_pubblico

e

nat (inside) 1 10.1.100.50 255.255.255.255
global (outside) 1 altro_ip_pubblico

sulla prima non funge il p2p sulla seconda si ... se provo a rifare un nat (inside) con lo stesso pool mi dice duplicate nat entry ....
aiutooooo

|nd|4nO · mar 03 lug , 2007 8:51 pm

up

grazie

|nd|4nO · mer 04 lug , 2007 9:36 am

ho provato ad associare una access al nat dell'interfaccia in questo modo ma non va uguale ...

fw(config)# show nat inside
match ip inside host 10.1.100.77 outside any
static translation to ip_pubblico1 translate_hits = 4566, untranslate_hits = 157
match ip inside any outside any
dynamic translation to pool 1 (ip pubblico interfaccia outside [Interface PAT])
translate_hits = 2203, untranslate_hits = 158
match ip inside any inside any
dynamic translation to pool 1 (No matching global)
translate_hits = 0, untranslate_hits = 0
match ip inside any dmz any
dynamic translation to pool 1 (No matching global)
translate_hits = 0, untranslate_hits = 0
match ip inside 10.1.100.0 255.255.255.0 outside any
dynamic translation to pool 1 (ip pubblico interfaccia outside ( [Interface PAT])
translate_hits = 270562, untranslate_hits = 30749
match ip inside 10.1.100.0 255.255.255.0 inside any
dynamic translation to pool 1 (No matching global)
translate_hits = 0, untranslate_hits = 0
match ip inside 10.1.100.0 255.255.255.0 dmz any
dynamic translation to pool 1 (No matching global)
translate_hits = 0, untranslate_hits = 0
fw(config)#
fw(config)# show access-list inside_access_in
access-list inside_access_in; 1 elements
access-list inside_access_in line 1 extended permit ip any any (hitcnt=275394)
fw(config)# nat (inside) 1 access-list inside_access_in

praticamente se faccio un nat ed un global per una subnet 255.255.255.0 oppure 255.255.255.255 non va
se faccio uno static di un singolo indirizzo funziona ...
la domanda sorge spontanea ....... posso fare uno static di una subnet classe C ? ho provato ma con pochi risultati

non ho più idee ... ho girato di tutto ... grazie a chiunque mi aiuterà
grazie

Wizard · mer 04 lug , 2007 1:27 pm

Codice: Seleziona tutto

static (inside,outside) tcp interface PORTA IP_INTERNO PORTA netmask 255.255.255.255 0 0
static (inside,outside) udp interface PORTA IP_INTERNO PORTA netmask 255.255.255.255 0 0

Poi crei le acl adeguate in entrata

|nd|4nO · mer 04 lug , 2007 2:54 pm

Wizard ha scritto:

Codice: Seleziona tutto

static (inside,outside) tcp interface PORTA IP_INTERNO PORTA netmask 255.255.255.255 0 0
static (inside,outside) udp interface PORTA IP_INTERNO PORTA netmask 255.255.255.255 0 0

Poi crei le acl adeguate in entrata

ti ringrazio per la risposta se faccio quel comando riesco solo a fare un ip la volta e funge anche senza acl ... quello che volevo sapere è se era possibile farlo con una singola classe di nat ....
grazie ancora

Wizard · mer 04 lug , 2007 3:00 pm

se era possibile farlo con una singola classe di nat ....

Non ho capito...
Vuoi nattare le stesse porte per più ip interni? Se è così no, non si può chiaramente fare.

|nd|4nO · mer 04 lug , 2007 3:32 pm

Wizard ha scritto:
se era possibile farlo con una singola classe di nat ....
Non ho capito...
Vuoi nattare le stesse porte per più ip interni? Se è così no, non si può chiaramente fare.

allora mi era venuto un dubbio lecito

praticamente mi conviene aprire un range di porte (diciamo 5) per ogni ip collegato a quel nat e comunicare agli utenti di usare i programmi di p2p su quelle porte ... questo si puo' fare ?

dubbio amletico : come fanno i provider tipo fastweb ad aprire le porte su intere classi che alla fine corrispondono sempre allo stesso ip pubblico ?
grazie

Wizard · mer 04 lug , 2007 3:40 pm

Non ti complicare la vita:

IP 1 porta tcp 111, porta udp 1112
IP 2 porta tcp 222, porta udp 2223

e così via...
Crei quindi una regola di nat e una acl per ogni macchina.
Così è pulito e sicuro che funziona.

|nd|4nO · mer 04 lug , 2007 3:44 pm

Wizard ha scritto:Non ti complicare la vita:

IP 1 porta tcp 111, porta udp 1112
IP 2 porta tcp 222, porta udp 2223

e così via...
Crei quindi una regola di nat e una acl per ogni macchina.
Così è pulito e sicuro che funziona.

ok penso farò così .. ti ringrazio infinitamente per l'aiuto ...
un ultima domanda se natto la stessa porta es
ip 1 porta tcp/udp 1112
ip 2 porta tcp/udp 1113

etc. etc.
posso modificare il nat esistente o devo ricrearlo da capo ?
grazie ancora

Wizard · mer 04 lug , 2007 3:55 pm

un ultima domanda se natto la stessa porta es
ip 1 porta tcp/udp 1112
ip 2 porta tcp/udp 1113

etc. etc.
posso modificare il nat esistente o devo ricrearlo da capo ?
grazie ancora

Elimina le regole esistenti e ricreale come devi.

pix 515e e protocolli p2p (scusate ma proprio non capisco)

Login • Iscriviti