NAT e ACL

[Mauriziog]

Ciaoa tutti, premetto che sono decisamente un neofita... per cui
scusate se sto per farvi una domanda ovvia o ancora peggio assurda...

ecco il mio problema:
ho un CISCO 837 nella sede master.
il router è opportunamente configurato. Dalla mia Lan tutti escono su
internete e lavorano tranquillamente.
Ho una sede periferica con una ADSL con un unico IP pubblico.
devo far lavorare la sede periferica in modo tale che possano
connettersi in terminal server.

ho aggiunto alla configurazione la seguente istruzione:

ip nat inside source static tcp 192.168.1.10 3389 interface ATM0 3389

tutto funziona correttamente, ma in questo modo chiunque potrebbe
entrare (conoscendo gli accessi di terminal server).

Cosa devo fare per far accedere soltanto l'IP pubblico della mia sede
periferica?

Spero di essere stato chiaro...
grazie anticipatamente..

[cisketto]

Se ho capito bene quello che vuoi fare,
ti basta aggiungere una acl sul router in modo da permettere l'accesso solo agli IP che desideri tu...
Ciao,
cisketto!

[Mauriziog]

Immaginavo... mi puoi fare un esempio?

Dovrebbe trattarsi di una acl estesa?

[andrewp]

access-list 4 permit host 192.168.1.10

Sotto ATM0:

ip access-group 4 in

[Mauriziog]

domani provo...grazie!!!

[djdylan78]

e una bella vpn tra le 2 sedi?

[Renato.Efrati]

access-list 4 permit host 192.168.1.10

Sotto ATM0:

ip access-group 4 in

deny any implicito......

[Renato.Efrati]

Ciaoa tutti, premetto che sono decisamente un neofita... per cui
scusate se sto per farvi una domanda ovvia o ancora peggio assurda...

ecco il mio problema:
ho un CISCO 837 nella sede master.
il router è opportunamente configurato. Dalla mia Lan tutti escono su
internete e lavorano tranquillamente.
Ho una sede periferica con una ADSL con un unico IP pubblico.
devo far lavorare la sede periferica in modo tale che possano
connettersi in terminal server.

ho aggiunto alla configurazione la seguente istruzione:

ip nat inside source static tcp 192.168.1.10 3389 interface ATM0 3389

tutto funziona correttamente, ma in questo modo chiunque potrebbe
entrare (conoscendo gli accessi di terminal server).

Cosa devo fare per far accedere soltanto l'IP pubblico della mia sede
periferica?

Spero di essere stato chiaro...
grazie anticipatamente..

quello che dici e' un controsenso.... o filtri le sessioni in ingresso basandoti su un global source address oppure puoi permettere a chiunque una sessione verso il publico solamente sulla porta 3389.

[andrewp]

access-list 4 permit host 192.168.1.10

Sotto ATM0:

ip access-group 4 in

Rileggendo...prima andavo un po' di corsa...:

access-list 4 permit host "IP pubblico"

naturalmente c'è il deny implicito sotto come dice Ispa.

[Renato.Efrati]

si ma poi scarti tutto quell'access-list cosi' nn va bene

[andrewp]

si ma poi scarti tutto quell'access-list cosi' nn va bene

Si ovvio, voleva un esempio di access-list non una configurazione completa

[Mauriziog]

salve ragazzi... mi sono perso!!!
ho inserito le istruzioni del primo suggerimento...
tutto ok ma non si esce + su internet!!


allego conf:

Using 1756 out of 131072 bytes
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Cisco837
!
enable secret 5 $1$EacJ$gvoF8EFozqA1QeRCKbnzA/
enable password 7 000D07070A5E1F5458781A
!
username xxxxx privilege 15 password 7 020201551F07032C49
no aaa new-model
ip subnet-zero
!
!
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
!
interface Ethernet0
ip address 192.168.10.201 255.255.255.0
ip nat inside
hold-queue 100 out
!
interface ATM0
ip address xx.xxx.xxx.242 255.255.255.252
ip access-group 4 in
ip nat outside
no atm ilmi-keepalive
pvc 8/35
protocol ip xx.xxx.xxx.241 no broadcast
encapsulation aal5snap
!
dsl operating-mode auto
hold-queue 224 in
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
ip nat inside source list 1 interface ATM0 overload
ip nat inside source static tcp 192.168.10.210 3389 interface ATM0 3389
ip classless
ip route 0.0.0.0 0.0.0.0 xx.xxx.xxx.241
ip http server
ip http authentication local
ip http secure-server
!
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 4 host yy.yyy.yyy.yyy
dialer-list 1 protocol ip permit
snmp-server engineID local 00000009020000036BDBF5B7
snmp-server community public RO
snmp-server enable traps tty
!
line con 0
exec-timeout 120 0
password 7 10471D180B1206595B5D7C
no modem enable
stopbits 1
line aux 0
line vty 0 4
access-class 15 in
exec-timeout 120 0
privilege level 15
password 7 09455A08170003405C5552
login local
transport input telnet ssh
!
scheduler max-task-time 5000
!
end

[andrewp]

tutto ok ma non si esce + su internet!!

interface ATM0
ip address xx.xxx.xxx.242 255.255.255.252
ip access-group 4 in
ip nat outside

Ecco...era quello che temeva Ispa, sotto ad una ACL c'è un deny any implicito, ciò vuol dire che non è scritto ma c'è.In pratica quell'acl da sola ti blocca tutto, anche il traffico della punto-punto (il traffico internet quindi).Studia bene una serie di ACL da implementare.

[Mauriziog]

ci tento ma non riesco....

adesso l'interfaccia ATM0 è :

interface ATM0
ip address xx.xxx.xxx.242 255.255.255.252
ip access-group 4 in
ip access-group 1 out
ip nat outside

ma in queste condizioni esco in internet ma non accedo al terminal server.
Capisco chè c'è il deny implicito ma non comprendo come le due ACL
interagiscano tra di loro pur essendo una IN e l'altra OUT.
Perdonate la mia disarmanta ignoranza...

[Renato.Efrati]

a chi vuoi permettere di entrare in terminal server?