aprire porte in entrata su 827
Inviato: lun 03 dic , 2007 7:19 am
salve
ho un cisco 827 per la connessione a internet e un firewall watchguard
l'indirizzo del cisco è 192.168.1.1 quello del watchguard è 192.168.1.2 lato wan, dovrei dire al cisco di girare tutte le porte in ingresso sul 192.168.1.2
siccome le gestisco dal watchguard (o almeno vorrei riuscirci)
ho fatto varie prove :
all'inizio pensavo a una cosa del genere:
ip nat inside source static 192.168.1.2 interface Dialer0
ma mi da errore vuole che specifico un'indirizzo non un'interfaccia,
leggendo un po in giro suppongo che devo dire all'interfaccia dialer0 di acettare connesioni in ingresso tramite un'acl all'inizio ho provato con 3 porte giusto per cercar di capire :
interface dialer0
ip access-group 101 in
access-list 101 permit tcp any any eq 5800
access-list 101 permit tcp any any eq 5900
access-list 101 permit tcp any any eq 3389
ip nat inside source static tcp 192.168.1.2 5800 interface DIALER0 5800
ip nat inside source static tcp 192.168.1.2 5900 interface DIALER0 5900
ip nat inside source static tcp 192.168.1.2 3389 interface DIALER0 3389
niente da fare dove sto sbagliando ?,
ho provato a definire tutte le porte come range:
access-list 111 permit tcp host 192.168.1.2 range 1 65535 any
access-list 111 permit UDP host 192.168.1.2 range 1 65535 any
ip nat inside source list 111 INTERFACE DIALER0
questa è la configurazione con le prove che ho fatto:
come faccio a girare tutto il traffico in ingresso su 192.168.1.2 che è la wan del firewall ? grazie daniel
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log uptime
service password-encryption
!
hostname F5ADSL-Router
!
enable secret 5 X
!
username X password 7 X
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip domain-name ngi.it
ip name-server 88.149.128.12
ip name-server 88.149.128.22
!
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
ip nat inside
no ip route-cache
hold-queue 100 out
!
interface ATM0
no ip address
no ip route-cache
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5snap
protocol ppp dialer
dialer pool-member 1
!
bundle-enable
dsl operating-mode auto
hold-queue 224 in
!
interface Dialer0
ip address negotiated
ip access-group 101 in
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp pap sent-username X password 7 X
!
ip nat pool p2p 192.168.1.2 192.168.1.2 netmask 255.255.255.0 type rotary
ip nat inside source list 10 interface Dialer0 overload
ip nat inside source list 111 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.2 5800 interface Dialer0 5800
ip nat inside source static tcp 192.168.1.2 5900 interface Dialer0 5900
ip nat inside source static tcp 192.168.1.2 3389 interface Dialer0 3389
ip nat inside destination list 100 pool p2p
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
!
!
access-list 10 permit 192.168.1.0 0.0.0.255
access-list 100 permit tcp any any range 1 65535
access-list 100 permit udp any any range 1 65535
access-list 100 permit ip any any
access-list 101 permit tcp any any eq 5900
access-list 101 permit tcp any any eq 5800
access-list 101 permit tcp any any eq 3389
access-list 101 permit tcp any any
access-list 101 permit udp any any
dialer-list 1 protocol ip permit
!
line con 0
stopbits 1
line vty 0 4
login local
!
scheduler max-task-time 5000
end
ho un cisco 827 per la connessione a internet e un firewall watchguard
l'indirizzo del cisco è 192.168.1.1 quello del watchguard è 192.168.1.2 lato wan, dovrei dire al cisco di girare tutte le porte in ingresso sul 192.168.1.2
siccome le gestisco dal watchguard (o almeno vorrei riuscirci)
ho fatto varie prove :
all'inizio pensavo a una cosa del genere:
ip nat inside source static 192.168.1.2 interface Dialer0
ma mi da errore vuole che specifico un'indirizzo non un'interfaccia,
leggendo un po in giro suppongo che devo dire all'interfaccia dialer0 di acettare connesioni in ingresso tramite un'acl all'inizio ho provato con 3 porte giusto per cercar di capire :
interface dialer0
ip access-group 101 in
access-list 101 permit tcp any any eq 5800
access-list 101 permit tcp any any eq 5900
access-list 101 permit tcp any any eq 3389
ip nat inside source static tcp 192.168.1.2 5800 interface DIALER0 5800
ip nat inside source static tcp 192.168.1.2 5900 interface DIALER0 5900
ip nat inside source static tcp 192.168.1.2 3389 interface DIALER0 3389
niente da fare dove sto sbagliando ?,
ho provato a definire tutte le porte come range:
access-list 111 permit tcp host 192.168.1.2 range 1 65535 any
access-list 111 permit UDP host 192.168.1.2 range 1 65535 any
ip nat inside source list 111 INTERFACE DIALER0
questa è la configurazione con le prove che ho fatto:
come faccio a girare tutto il traffico in ingresso su 192.168.1.2 che è la wan del firewall ? grazie daniel
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log uptime
service password-encryption
!
hostname F5ADSL-Router
!
enable secret 5 X
!
username X password 7 X
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip domain-name ngi.it
ip name-server 88.149.128.12
ip name-server 88.149.128.22
!
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
ip nat inside
no ip route-cache
hold-queue 100 out
!
interface ATM0
no ip address
no ip route-cache
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5snap
protocol ppp dialer
dialer pool-member 1
!
bundle-enable
dsl operating-mode auto
hold-queue 224 in
!
interface Dialer0
ip address negotiated
ip access-group 101 in
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp pap sent-username X password 7 X
!
ip nat pool p2p 192.168.1.2 192.168.1.2 netmask 255.255.255.0 type rotary
ip nat inside source list 10 interface Dialer0 overload
ip nat inside source list 111 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.2 5800 interface Dialer0 5800
ip nat inside source static tcp 192.168.1.2 5900 interface Dialer0 5900
ip nat inside source static tcp 192.168.1.2 3389 interface Dialer0 3389
ip nat inside destination list 100 pool p2p
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
!
!
access-list 10 permit 192.168.1.0 0.0.0.255
access-list 100 permit tcp any any range 1 65535
access-list 100 permit udp any any range 1 65535
access-list 100 permit ip any any
access-list 101 permit tcp any any eq 5900
access-list 101 permit tcp any any eq 5800
access-list 101 permit tcp any any eq 3389
access-list 101 permit tcp any any
access-list 101 permit udp any any
dialer-list 1 protocol ip permit
!
line con 0
stopbits 1
line vty 0 4
login local
!
scheduler max-task-time 5000
end