nat port range

[Ciberkids]

salve a tutti, è da un po' che configuro il mio soho 97 e oggi riguardavo lo sh run che ho e ho notato che ho molte regole di nat nelle acl che potrebbero essere raccolte in regole a range... ovvero ho 3 porte aperte e al posto di avere

ip nat inside source static tcp 192.168.1.252 16382 interface Dialer1 16382
ip nat inside source static tcp 192.168.1.252 16383 interface Dialer1 16383
ip nat inside source static tcp 192.168.1.252 16384 interface Dialer1 16384

mi piacerebbe avere una regola con un range

però non so come si fa... sapreste voi aiutarmi... mi basta capire che sintassi usare poi mi arrangio

spero in una risposta ciao ciao

[andrewp]

interface Dialer1 range 16382-16384

[Ciberkids]

Grandioso!!!! Grazie mille.. avanzi uno spritz

veramente gentile!

[Ciberkids]

emmm mi sapreste dire come mai mi sono scomparse le ACL???

mi spiego meglio, dopo aver letto la risposta del post mi sono messo a configurare il mio router e ho cominciato a inserire in ordine questi comandi da telnet:

Codice: Seleziona tutto

no ip nat inside source static tcp 192.168.1.252 16382 interface Dialer1 16382
no ip nat inside source static tcp 192.168.1.252 16383 interface Dialer1 16383
no ip nat inside source static tcp 192.168.1.252 16384 interface Dialer1 16384 

e subito dopo pensado che le acl andassero modifica di conseguenza ho scritto

Codice: Seleziona tutto

no access-list 111 permit tcp any any eq 16384
no access-list 111 permit tcp any any eq 16383
no access-list 111 permit tcp any any eq 16382

poi cosi tanto per vedere se avevo fatto tutto giusto faccio un ctrl+c
e subito dopo un sh run

cosa stra strana ecco il risultato:

Codice: Seleziona tutto

admin#sh run
Building configuration...

Current configuration : 3306 bytes
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname admin
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 $1$Il0z$1eb5cAl1aewrWHqeFlO3R/
!
ip subnet-zero
ip name-server 151.99.125.1
ip name-server 151.99.0.100
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.1.1 192.168.1.7
ip dhcp excluded-address 192.168.1.2
ip dhcp excluded-address 192.168.1.252
ip dhcp excluded-address 192.168.1.7
!
ip dhcp pool CLIENT
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.1
   dns-server 151.99.125.1 151.99.0.100
   lease 0 2
!
!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
no aaa new-model
!
!
username admin password 7 11584B5643
username CRWS_dheeraj privilege 15 password 7 09081F4D2E5411334F0355251801383267
734354475358050A01
username CRWS_Prem privilege 15 password 7 15565A48337B2D056C3C642D2022060259060
80E030D5E5648
username CRWS_Bijoy privilege 15 password 7 125D5453255A0A256E247527001032125047
55530E00090203
!
!
no crypto isakmp enable
!
!
!
interface Ethernet0
 description CRWS Generated text. Please do not delete this:192.168.1.1-255.255.
255.0
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 no ip mroute-cache
 hold-queue 100 out
!
interface ATM0
 no ip address
 no ip mroute-cache
 atm vc-per-vp 64
 no atm ilmi-keepalive
 dsl operating-mode auto
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface Dialer1
 ip address negotiated
 ip access-group 111 in
 ip nat outside
 ip inspect myfw out
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname [email protected]
 ppp chap password 7 03095A1F120A2E
 ppp pap sent-username [email protected] password 7 11041811031704
 hold-queue 224 in
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
no ip http secure-server
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 192.168.1.2 24449 interface Dialer1 24449
ip nat inside source static tcp 192.168.1.2 3000 interface Dialer1 3000
ip nat inside source static tcp 192.168.1.2 4662 interface Dialer1 4662
ip nat inside source static udp 192.168.1.2 4672 interface Dialer1 4672
ip nat inside source static tcp 192.168.1.2 3389 interface Dialer1 3389
ip nat inside source static tcp 192.168.1.7 40977 interface Dialer1 40977
ip nat inside source static tcp 192.168.1.2 80 interface Dialer1 80
ip nat inside source static tcp 192.168.1.2 21 interface Dialer1 21
!
!
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
 exec-timeout 120 0
 no modem enable
 transport preferred all
 transport output all
 stopbits 1
line aux 0
 transport preferred all
 transport output all
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 login local
 length 0
 transport preferred all
 transport input all
 transport output all
!
scheduler max-task-time 5000
!
end

admin#

MI SONO SPARITE LE ACL..... cosa devo fare ora secondo voi?? perchè da quel che so le acl sono il cosìdetto firewall quindi ora mi sento un po' con il sedere per aria per così dire.. o mi sbaglio??


spero che mi rispondiate... grazie ciao



edit1: cmq il comando

Codice: Seleziona tutto

admin(config)#
ip nat inside source static tcp 192.168.1.252 interface Dialer1 range 16382-1648

% Invalid input detected at '^' marker.

admin(config)#

mi sa che non funza molto bene...

[active]

Infatti mi sa che la serie dei router adsl (almeno fino all' 837 che possiedo io) non hanno la possibilita' di definire un range di nat. Devi quindi adottare un piccolo "trucco", utilizzando un nat pool.

Codice: Seleziona tutto

ip nat pool range_nat_pool 192.168.1.252 192.168.1.252 prefix-length 24 type rotatory

e poi lo aggiungi alla tabella di nat:

Codice: Seleziona tutto

ip nat inside destination list range_acl pool range_nat_pool

dove range_acl e' una serie di acl per permettere l'accesso porte che vuoi aprire.

Ovviamente range_nat_pool e range_acl sono nomi personalizzabili.

[andrewp]

MI SONO SPARITE LE ACL..... cosa devo fare ora secondo voi??

Hehehe, stai per inserire un altro mattoncino di esperienza nella tua mente, il comando:

no access-list 111

elimina tutte le entry della 111 e non solo quella che specifichi tu, in produzione ti avrebbero accoltellato

Cisco consiglia di aprire un notepad, copiarsi tutte le acl cancellando quella/e che non dovranno più esserci e poi far sparire tutto e reinserire.

1 spritz e 1 birra?!

[Ciberkids]

MI SONO SPARITE LE ACL..... cosa devo fare ora secondo voi??

Hehehe, stai per inserire un altro mattoncino di esperienza nella tua mente, il comando:

no access-list 111

elimina tutte le entry della 111 e non solo quella che specifichi tu, in produzione ti avrebbero accoltellato

Cisco consiglia di aprire un notepad, copiarsi tutte le acl cancellando quella/e che non dovranno più esserci e poi far sparire tutto e reinserire.

1 spritz e 1 birra?!

birra e sprizt non vanno d'accordo... direi piuttosto spritz con successivo prosecchino del valdobiadene che non è male

cmq tornando a noi ho sistemato le cose dato che si siamo mi diresti se ho messo apposto bene le cose?

Codice: Seleziona tutto

admin#sh run
Building configuration...

Current configuration : 3590 bytes
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname admin
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 $1$Il0z$1eb5cAl1aewrWHqeFlO3R/
!
ip subnet-zero
ip name-server 151.99.125.1
ip name-server 151.99.0.100
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.1.1 192.168.1.7
ip dhcp excluded-address 192.168.1.2
ip dhcp excluded-address 192.168.1.252
ip dhcp excluded-address 192.168.1.7
!
ip dhcp pool CLIENT
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.1
   dns-server 151.99.125.1 151.99.0.100
   lease 0 2
!
!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
no aaa new-model
!
!
username admin password 7 11584B5643
username CRWS_dheeraj privilege 15 password 7 09081F4D2E5411334F0355251801383267
734354475358050A01
username CRWS_Prem privilege 15 password 7 15565A48337B2D056C3C642D2022060259060
80E030D5E5648
!
!
no crypto isakmp enable
!
!
!
interface Ethernet0
 description CRWS Generated text. Please do not delete this:192.168.1.1-255.255.
255.0
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 no ip mroute-cache
 hold-queue 100 out
!
interface ATM0
 no ip address
 no ip mroute-cache
 atm vc-per-vp 64
 no atm ilmi-keepalive
 dsl operating-mode auto
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface Dialer1
 ip address negotiated
 ip access-group 111 in
 ip nat outside
 ip inspect myfw out
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname [email protected]
 ppp chap password 7 03095A1F120A2E
 ppp pap sent-username [email protected] password 7 11041811031704
 hold-queue 224 in
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
no ip http secure-server
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 192.168.1.2 24449 interface Dialer1 24449
ip nat inside source static tcp 192.168.1.2 3000 interface Dialer1 3000
ip nat inside source static tcp 192.168.1.2 4662 interface Dialer1 4662
ip nat inside source static udp 192.168.1.2 4672 interface Dialer1 4672
ip nat inside source static tcp 192.168.1.2 3389 interface Dialer1 3389
ip nat inside source static tcp 192.168.1.7 40977 interface Dialer1 40977
ip nat inside source static tcp 192.168.1.2 80 interface Dialer1 80
ip nat inside source static tcp 192.168.1.2 21 interface Dialer1 21
!
!
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 111 permit tcp any any eq 4662
access-list 111 permit udp any any eq 4672
access-list 111 permit tcp any any eq 3389
access-list 111 permit tcp any any eq www
access-list 111 permit tcp any any eq ftp
access-list 111 permit tcp any any eq 3000
access-list 111 permit tcp any any eq 40977
access-list 111 permit tcp any any eq 24449
access-list 111 deny   tcp any any
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
 exec-timeout 120 0
 no modem enable
 transport preferred all
 transport output all
 stopbits 1
line aux 0
 transport preferred all
 transport output all
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 login local
 length 0
 transport preferred all
 transport input all
 transport output all
!
scheduler max-task-time 5000
!
end

admin#

[Ciberkids]

nessuno mi può aiutare allora?

[Ciberkids]

up....

[TheIrish]

io però non vedo il nat pool suggerito da active...

[Ciberkids]

nnanzi tutto spiego il motivo della richiesta:
ho acquistato un pap2t per effetuare chiamate voip e devo configurare il pool di porte 16284 - 16382 UDP per far passare il traffico voce "dalla linea ADSL" direttamente al pap2 però non capisco alcune cose che vengono spiegate nel post...

mi è stato detto che devo creare una list a parte e poi nattarla... però il concetto non mi è chiaro devo creare per esempio una lista con tutte le 100 entry???

io spero di no:D

e poi non ho capito se ho riparato al disastro che ho combinato... siccome ho vari problemi con la linea non vorrei che fosse dovuto anche a quello...

non riesco a risolvere il problema e le varie guide di natting ecc non mi hanno aiutato...

grazie ancora

ciao Ciberkids

[active]

mi è stato detto che devo creare una list a parte e poi nattarla... però il concetto non mi è chiaro devo creare per esempio una lista con tutte le 100 entry???

Poiche' utilizzi le acl per permettere il traffico (nel tuo caso udp) in entrata, le acl permettono di specificare un range.

Nel tuo caso (riferendomi al mio esempio):

Codice: Seleziona tutto

ip access-list extended range_acl
permit udp any any range 16284 16382