CiscoForums.it

Ciao a tutti...ho un dubbio

Per aprire le connessioni in ingresso da internet (es. lavoro) verso il mio pc, uso la seguente istruzione

ip nat inside source list 25 interface Dialer0 overload
ip nat inside source static tcp x.x.x.x (ip pc) 3389 interface Dialer0 3389

access-list 25 permit any

Vorrei capire una cosa...
E' meglio farle cosi' le access-list oppure è meglio creare una estesa dove possa dare eventualmente l'accesso da ip esterno che conosco?

ex.
access-list 100 permit tcp host x.x.x.x (ip pubblico sorgente) host x.x.x.x (ip privato pc) eq 3389.

Ho un po' di confisione in testa...scusate...

Grazie

Allarme idee confuse
L'istruzione di NAT che contempla l'overload non serve per NATtare staticamente una porta all'interno. Serve ad abilitare il NAT dinamico delle connessioni che partono dall'interno.
In più, normalmente ill filtraggio di quali-indirizzi-possono-fare-cosa, è un'attività che, se possibile, non è bene delegare al NAT.

TheIrish ha scritto:Allarme idee confuse
L'istruzione di NAT che contempla l'overload non serve per NATtare staticamente una porta all'interno. Serve ad abilitare il NAT dinamico delle connessioni che partono dall'interno.
In più, normalmente ill filtraggio di quali-indirizzi-possono-fare-cosa, è un'attività che, se possibile, non è bene delegare al NAT.

Si, ma cmq l'istruzione che ho messo fa in modo che riesca a raggiungere la mia macchina dall'esterno sulla porta 3389 e funziona!!

Quindi mi consigli di creare la access-list extended e di applicarla alla dialer0 in modalità in?
devo aggiungere anche altre access-list?

Si si, ovviamente funziona.
Ti consiglio, appunto, di creare una ACL estesa che descriva gli accessi alla porta 3389 da applicare in un access-group in sulla Dialer0.

TheIrish ha scritto:Si si, ovviamente funziona.
Ti consiglio, appunto, di creare una ACL estesa che descriva gli accessi alla porta 3389 da applicare in un access-group in sulla Dialer0.

Ti ringrazio vivamente

TheIrish ha scritto:Si si, ovviamente funziona.
Ti consiglio, appunto, di creare una ACL estesa che descriva gli accessi alla porta 3389 da applicare in un access-group in sulla Dialer0.

Ciao, ho provato a fare

access-list 100 permit tcp any host x.x.x.x eq 3389

interface dialer 0

ip access-group 100 in

ma non navigo e non faccio + niente


Dove sbaglio?

C'è il Deny any implicito alla fine della Access-List che ti blocca tutto il traffico eccetto quello che tu esplicitamente permetti

Timur ha scritto:C'è il Deny any implicito alla fine della Access-List che ti blocca tutto il traffico eccetto quello che tu esplicitamnte permetti

Ho una confisione intesta che misembra il traffico di Milano nelle ore di punta

Quindi se io devo usare per esempio emule sulle porte tcp e udp predefinite, faccio la nat ?

Il mio bisogno è quello di poter essere raggiunto via remote access (3389) e di usare emule..
Potete eventualmente buttarmi giu' uno schizzo di acl?

Grazie

P.S.: LO SO !!!!!!!!! SONO UN TESTARDO E ROMPI P...E!!! SCUSATE

Ciao Mario, non preoccuparti di rompere perchè rompendo soddisfi la curiosità, che è il motore della conoscenza

Per quanto riguarda il tuo problema, cerca nel forum "ip nat inside" oppure "emule" e troverai la soluzione.

Ciao.