CiscoForums.it

Salve a tutti, di nuovo...

Vorrei impostare una ACL per l'apertura della porta 80 da un certo indirizzo ip esterno (lato pubblico)
La porta 80 è nattata su un ip locale, e il nat funziona correttamente (già provato).

Come faccio?

Grazie

Simone.

spiegati meglio: vuoi che un host esterno possa accedere alla porta 80?

nalla acl deve essere presente una entry del tipo:
dove X:X:X:X è l'ip pubblico con cui ti presenti e Y a seconda che usi un ip dinamico o statico sull' interfaccia del router sarà o any o l'ip dell'intefaccia.

L'acl va applicata in ingresso all'interfaccia pubblica del router

Braveheart84 ha scritto:spiegati meglio: vuoi che un host esterno possa accedere alla porta 80?

Si, hai capito benissimo.

scolpi ha scritto:nalla acl deve essere presente una entry del tipo:

Codice: Seleziona tutto

permit tcp host X:X:X:X eq 80 Y

dove X:X:X:X è l'ip pubblico con cui ti resenti e Y a seconda che usi un ip dinamico o stati sull'ainterfaccia del router sarà o any a l'ip dell'intefaccia.

L'acl va applicata in ingresso all'interfaccia pubblica del router

Purtroppo non sono molto ferrato con le ACL. Potresti farmi un'esempio esplicativo? Grazie.

allora l'host esterno ha un indirizzo pubblico con cui si presenta, che deve comunicare con l'host interno: se quest'ultimo ha un altro ip pubblico che poi è nattato con quell'interno, metti: permit tcp host "indirizzo ip host esterno" eq 80 host "indirizzo pubblico host di destinazione", altrimenti al posto dell'host di destinazione metti any.
L'acl poi va applicata sull'interfaccia dove entra il traffco esterno: quindi vai sull'interfaccia, e digiti "ip access-group "numero acl" (che deve essere sopra i 100) in".

Però è anche vero che se vuoi altro traffico esterno raggiunga altri host, rischi di vedert il tutto bloccato per via del deny implicito dell'acl, quindi dovresti aggiugere un "permit ip any any".
Ma per come la vedo io, un semplice portfowarding potrebbe essere sufficiente per raggiungere il tuo scopo senza utilizzare l'ACL. Ovviamente attendo altri pareri

Braveheart84 ha scritto:allora l'host esterno ha un indirizzo pubblico con cui si presenta, che deve comunicare con l'host interno: se quest'ultimo ha un altro ip pubblico che poi è nattato con quell'interno, metti: permit tcp host "indirizzo ip host esterno" eq 80 host "indirizzo pubblico host di destinazione", altrimenti al posto dell'host di destinazione metti any.
L'acl poi va applicata sull'interfaccia dove entra il traffco esterno: quindi vai sull'interfaccia, e digiti "ip access-group "numero acl" (che deve essere sopra i 100) in".

Però è anche vero che se vuoi altro traffico esterno raggiunga altri host, rischi di vedert il tutto bloccato per via del deny implicito dell'acl, quindi dovresti aggiugere un "permit ip any any".
Ma per come la vedo io, un semplice portfowarding potrebbe essere sufficiente per raggiungere il tuo scopo senza utilizzare l'ACL. Ovviamente attendo altri pareri

Anche io sono del tuo stesso parere, che un port forwarding faccia tutto quello che cerco, il problema è che se qualcuno mi buca la password di amministrazione del PBX VoIP su quel dispositivo potrebbe essere una cosa sconveniente... Quindi vorrei blindarla solo all'indirizzo ip del mio ufficio così da evitare tutti i vari fastidi del caso...

allora se hai questi timori, l'ACL può andar bene. Tu vuoi che solo un host esterno possa raggiungere quello interno?

cmq per le password, basta usare parole difficili da trovare e, sopratutto, cambiarle spesso.