Pagina 1 di 1
NAT INSIDE e IP PUBBLICI - Cisco 2851
Inviato: lun 18 gen , 2010 11:25 am
da weblaboratory
Buongiorno a tutti quanti
Non riesco a configurare bene un router 2851 che mi deve nattare 4 IP Pubblici di fastweb.
Io vorrei essere libero di nattare determinate porte su server differenti ed ugualmente poter uscire su internet con i server selezionati
Attualmente il router funziona correttamente con la seguente configurazione:
Codice: Seleziona tutto
interface GigabitEthernet0/0
description lan locale
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface GigabitEthernet0/1
description RETE PUBBLICA
ip address 5.5.X.X 255.255.255.248
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 5.5.X.X
BLA BLA BLA
ip nat inside source static 192.168.1.1 IP_PUBBLICO_01 extendable
ip nat inside source static 192.168.1.2 IP_PUBBLICO_02 extendable
ip nat inside source static 192.168.1.3 IP_PUBBLICO_03 extendable
ip nat inside source static 192.168.1.4 IP_PUBBLICO_04 extendable
Io vorrei riuscire a mettere una cosa del genere:
Codice: Seleziona tutto
ip nat inside source static tcp 192.168.1.4 80 IP_PUBBLICO_04 80 extendable
Purtroppo però in questo modo dall'esterno non riesco ad arrivare al server 192.168.1.4 che sta in ascolto sulla porta 80
Come posso riuscire ad ABILITARE solo determinate porte in ingresso, 80,443,53 , bloccare quindi quelle che non voglio e ugualmente far navigare il server su internet tramite il suo indirizzo IP?
Mi sfugge qualcosa....
Inviato: lun 18 gen , 2010 1:10 pm
da Gianremo.Smisek
devi usare il PAT
Codice: Seleziona tutto
access-list 101 permit tcp host 192.168.1.4
ip nat pool SINGLE IP_PUBBLICO_04 IP_PUBBLICO_04 netmask 255.255.x.x
ip nat inside source list 101 pool SINGLE overload
elimini
Codice: Seleziona tutto
ip nat inside source static 192.168.1.4 IP_PUBBLICO_04 extendable
poi assegni manualmente i nat con le relative porte.
non e' una soluzione "pulitissima" ma dovrebbe funzionare, prova e fammi sapere.
ciao!
P.S. se nella definizione del pool SINGLE da un warning, ignoralo...
P.P.S. la soluzione ideale e' fare il nat 1:1 e bloccare le porte che non servono con un firewall...
Inviato: lun 18 gen , 2010 3:19 pm
da weblaboratory
Ciao, grazie mille per la risposta
Cosa intendi esattamente per NON PULITISSIMA?
Lo ritieni errato utilizzare il router principale per bloccare le porte che non mi interessano?
eventualmente potrei anche lasciare tutto aperto sui server e bloccare tutte le porte tranne quelle che mi interessano.
Mi va benissimo fare NAT 1:1... non c'è problema
ma vorrei fare NAT solo delle porte che voglio io
Ora vado a provare la configurazione che mi hai dato
Inviato: lun 18 gen , 2010 3:33 pm
da weblaboratory
Purtroppo non funziona.
Ora posto esattamente la mia configurazione funzionante:
Codice: Seleziona tutto
interface FastEthernet0/0
description RETE INTERNA SERVER 172.31.0.0 255.255.255.0
ip address 172.31.0.100 255.255.255.0
ip nat inside
duplex full
speed 100
no cdp enable
!
interface FastEthernet0/1
description RETE PUBBLICA SERVER 172.31.0.0 255.255.255.0
ip address 192.168.1.10 255.255.255.0
ip nat outside
duplex full
speed 100
no cdp enable
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
ip nat inside source static 172.31.0.27 192.168.1.2
ip nat inside source static 172.31.0.28 192.168.1.3
ip nat inside source static 172.31.0.29 192.168.1.4
ip nat inside source static 172.31.0.101 192.168.1.5
In questa maniera i server 172.31.0.27, .28, .29 e .101 sono tutti visibili completamente dall'esterno e navigano ed escono
Mentre con la configurazione che mi hai dato:
Codice: Seleziona tutto
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
no ip http server
ip nat pool SINGLE 192.168.1.5 192.168.1.5 netmask 255.255.255.0
ip nat inside source list 101 pool SINGLE overload
ip nat inside source static 172.31.0.27 192.168.1.2
ip nat inside source static 172.31.0.28 192.168.1.3
ip nat inside source static 172.31.0.29 192.168.1.4
ip nat inside source static tcp 172.31.0.101 80 192.168.1.5 80 extendable
access-list 101 permit tcp host 172.31.0.101 any
help
Inviato: lun 18 gen , 2010 4:09 pm
da Gianremo.Smisek
strano
la stessa cfg l'ho usata una volta da me ed ha funzionato. che ios hai?
prova ad aggiungere type rotary nella definizione del nat pool. (alla fine del comando)
se non va', fai in quest'altro modo:
prova a mettere l'IP pubblico in una loopback e cambiare la regola di nat in:
Codice: Seleziona tutto
ip nat inside source list 101 int loopback0 overload
oppure ancora meglio prova a fare nat 1:1 ed aprire da firewall solo le porte che t'interessano..
P.S. usare il nat da loopback non e' una soluzione pulita, infatti cisco ci mette a disposizione lo stumento per fare nat 1:1
Inviato: lun 18 gen , 2010 6:27 pm
da weblaboratory
AHHH purtroppo non funge...
e soprattutto non è una bella soluzione
Domanda: e se associassi ad ogni interfaccia una Access-list?
Non posso gestirmi il traffico entrante ed uscente da li?
Nell'interfaccia pubblica potrei mettere
Oppure OUT?
Come vengono visti esattamente ?
Ad esempio per accedere solamente ad un server WEB (80) e che risolva il nome, secondo voi che access list devo creare?
ho provato un pochino ma non ne vengo a capo
Ciao e grazie
Inviato: lun 18 gen , 2010 8:04 pm
da Gianremo.Smisek
aja.. qua' mancano le basi.... dovresti leggerti un po' di doc..
cmq per poter permettere il traffico sulla 80 e bloccare TUTTO il resto, puoi far cosi':
associata all'interfaccia wan in direzione "IN"
ciao
Inviato: lun 18 gen , 2010 10:12 pm
da weblaboratory
Eh si sicuramente qualche base sulle access list manca...
Ma ho fatto qualche prova e semplicemente con quella access list non navigavo e non ero neanche pubblico .
Lasciando stare problemi di DNS... ho provato direttamente mettendo gli ip pubblici su cui avrebbe dovuto rispondere il mio web server...
avevo messo esattamente quella access list che mi hai indicato ma non va
Teoricamente se non metto un access-group OUT, tutto il traffico in uscita è libero giusto?
Ho solo paura che una volta avvenuta la connessione sulla porta 80, le altre che vanno su porte > 65000 vengono fermate.
Io lavoro molto con IPTABLES e bene o male li riesci a impostare le regole su connessioni già stabilite, nuove, related ecc.
Con le access list come faccio a identificare una connessione già stabilita da una nuova o fittizia?
Ciao e ancora grazie per l'aiuto
Inviato: lun 18 gen , 2010 11:01 pm
da Gianremo.Smisek
su ios c'e' ip inspect per far quel che dici tu..
e se il tuo IOS non lo supporta, c'e' la keyword established..
prova a dare un'occhiata qui':
http://www.areanetworking.it/cisco-827- ... Cil-minimo
Inviato: mar 19 gen , 2010 11:29 am
da weblaboratory
OOOk diciamo che sono riuscito a fare qualcosina...
Ditemi se ho fatto una boiata. Sulla mia interfaccia WAN ho messo due ACL, una per il traffico in entrata ed uno in uscita
Codice: Seleziona tutto
interface FastEthernet0/1
description RETE PUBBLICA SERVER 172.31.0.0 255.255.255.0
ip address 192.168.1.10 255.255.255.0
ip access-group 105 in
ip access-group 106 out
ip nat outside
duplex full
speed 100
no cdp enable
!
!
access-list 105 permit tcp any host 192.168.1.5 eq www log
access-list 105 permit udp any host 192.168.1.5 eq domain
access-list 105 permit tcp any any established
access-list 105 permit udp any eq domain host 192.168.1.5
access-list 105 deny ip any any log
access-list 106 permit tcp host 192.168.1.5 any eq www
access-list 106 permit udp host 192.168.1.5 any eq domain
access-list 106 permit tcp host 192.168.1.5 any eq ftp
access-list 106 permit tcp host 192.168.1.5 any eq ftp-data
access-list 106 permit tcp any any established
access-list 106 deny ip any any log
In questo esempio vorrei far si che le connessioni sulla 80 in entrata vadano, in uscita il server possa navigare e connettersi via FTP.
Navigazione in e out funziona.
L'FTP no.
Codice: Seleziona tutto
*Jan 19 10:22:57.229: %SEC-6-IPACCESSLOGP: list 105 denied tcp 93.155.237.46(2839) -> 192.168.1.4(135), 1 packet
*Jan 19 10:22:58.553: %SEC-6-IPACCESSLOGP: list 105 denied tcp 213.251.192.26(35187) -> 192.168.1.3(22), 1 packet
*Jan 19 10:23:10.057: %SEC-6-IPACCESSLOGP: list 106 denied tcp 192.168.1.5(1695) -> 81.223.20.37(56960), 1 packet
*Jan 19 10:23:13.061: %SEC-6-IPACCESSLOGP: list 106 denied tcp 192.168.1.5(1697) -> 200.17.202.1(49362), 1 packet
*Jan 19 10:23:31.261: %SEC-6-IPACCESSLOGP: list 106 denied tcp 192.168.1.5(1699) -> 81.223.20.37(54336), 1 packet
*Jan 19 10:23:39.041: %SEC-6-IPACCESSLOGP: list 106 denied tcp 192.168.1.5(1701) -> 81.223.20.37(54354), 1 packet
Guardando il motivo e' perche non mi accetta di apire le connessioni su porte maggiori di 40000 ecc... Come posso aggirare il problemino?
Mettere le ACL cosi' sulla stessa interfaccia e' poi cos' tanto una porcata oppure e' un buon metodo?
E' forse meglio mettere una ACL in entrata sulla WAN , una ACL in entrata sulla LAN e gestirle separatamente?
Ciao e grazie[/code]