CiscoForums.it

Salve a tutti
La mia configurazione è questa...
soho77-->firewall-->rete
il problema è che devo indirizzare tutte le porte verso l'ip del firewall e da li decidere quali aprire/chiudere. qualcuno conosce il comando per fare questa operazione??

Grazie mille a quanti riescano a darmi un aiuto

Una rotta statica per la sottorete dietro al firewall?!

NOTA: se hai un solo ip pubblico, non puoi evitare che sia il router a fare il nat.
Ergo, dovranno esserci due subnet private, una tra il router e il firewall, e un'altra per la LAN.
Ora, non ti rimane che informare il router su qual è la rotta per raggiungere la LAN ed informare il firewall su qual è la rotta per internet.
Googla cisco ip route e dovresti trovare risposta.
In caso di dubbi, siamo qui

Il firewall ha 2 schede di rete ognuna con una subnet e ip diversi e il router un solo ip pubblico dinamico a me interessava soltanto la parte di configurazione da inserire nel router per fare in modo che tutto il traffico che arriva dall'esterno lo mandi all'ip dell'interfaccia esterna del firewall

(ip pubblico)router(ip eth)--->(ip ext firewall)firewall(ip int firewall)--->> mia lan

praticamnete il router non deve fare altro che reindirizzare tutto il traffico verso un preciso ip

sul forum ho trovato solo come fare port forwarding di specifiche porte.. a basterebbe mandare tutte le porte verso un ip

Grazie ancora per il vostro aiuto

DeM0lition ha scritto:(ip pubblico)router(ip eth)--->(ip ext firewall)firewall(ip int firewall)--->> mia lan

praticamnete il router non deve fare altro che reindirizzare tutto il traffico verso un preciso ip

Ecco a te:

TheIrish ha scritto: Googla cisco ip route e dovresti trovare risposta.
In caso di dubbi, siamo qui

Ho provato a cercare su google ma trovo tutta roba in inglese e non riesco a capire se sia veramente quello che fa a caso mio..

potrei pensare che sia una cosa tipo

ip nat inside source static 10.0.0.2 interface dialer0

dove 10.0.0.2 è l'ip del firewall

dite che cosi possa andare?

Ciao, io ho l'803 e stò "combattendo" con lui proprio per la stessa identica cosa che devi fare tu.
La regola

ip nat inside source static 10.0.0.2 interface dialer0

dovrebbe funzionare correttamente (se ti permette di inserirla senza darti errori, a me li dà...sobh!). Infatti, se , esempio, il tuo ip pubblico fosse 123.123.123.456, una regola del tipo:

ip nat inside source static 10.0.0.2 123.123.123.456

funziona proprio per quello che devi fare tu (almeno sul mio và alla grande), ma và bene solo se il tuo ip pubblico è statico. Se invece è dinamico, per evitare di cambiare l'ip a mano ogni volta che l'ip cambia, ripeto che la regola

ip nat inside source static 10.0.0.2 interface dialer0

dovrebbe andare più che bene, sempre che 10.0.0.2 sia l'ip ext del tuo firewall (come hai indicato nel tuo diagramma).
La cosa migliore in questi casi, se hai un buon firewall, secondo me potrebbe essere un bridging. Così facendo, sull'interfaccia ext del tuo firewall verrebbe assegnato direttamente l'ip pubblico e il router ti sarebbe trasparente (devi però attivare il NAT sul tuo firewall, cosa di cui non c'è bisogno invece se lasci il Cisco come router).
Saluti

Il NAT verso l'interno è superfluo.
Ecco la situazione:

IP Dyn -|RTR|- 10.10.10.1 ------- 10.10.10.2 -|FW|- 192.168.0.0/24

Nel router devi inserire la seguente rotta statica:

ip route 192.168.0.0 255.255.255.0 10.10.10.2

Il firewall invece deve avere come default gateway il 10.10.10.1
Naturalmente il RTR dovrà fare NAT verso l' ESTERNO.

Ciao.

Salve a tutti,

ho un po di confusione dopo aver letto l'ultima riposta di SithDrew faccio un esempio con la mia eseigenza:

Cisco 837 ------- Red Ipcop ---------Green Ipcop
Wan 10.0.0.139 192.168.1/24
62.123.xx.
Eth0
10.0.0.138

Quindi io devo dirgli al route che
(ip route 192.168.1.0 255.255.255.0 10.0.0.139)
la clasee 192.xx.xx di farmela passare dall'ip 10.0.0.139?

Ma non è meglio dirgli al router che tutto quello che arriva dall'esterno lo fa arrivare sul 10.0.0.139 e poi lui lo gira nella rete interna solo che non so propio come fare
Con il PAT si possono fare le singole porte ma non tutte le porte tcp/udp
almeno penso che sia cosi

La struttura logica è:

CISCO - FW - SOTTORETE

Il Cisco dove trova la sottorete?Sull'interfaccia direttamente connessa del firewall. (Rotta statica).

Il firewall dove trova il restante mondo che non sia la sottorete direttamente connessa?Sull'interfaccia Eth del Cisco. (Il FW ha l'eth del Cisco come default gateway).

Inoltre il Cisco dovrà fare un semplice nat outside overload...

E' più chiaro ora?

Quindi se ho capito bene sul mio router devo impostare questa route statica:
ip route 192.168.1.0 255.255.255.0 10.0.0.139

Il router in questo modo sa che per raggiungere la sotto rete 192.168.x.x deve passare dall'op 10.0.0.139. La cosa che non capisco e che se faccio un interrogazione dall'esterno alla porta 80 come fa a sapere che deve cercare la porta 80 nella sottorete 192.168.x.x?

Grazie per la Pazienza