CiscoForums.it

Cisco Users Group
https://www.ciscoforums.it/

Cisco PIX global command

https://www.ciscoforums.it/viewtopic.php?f=10&t=8018

Pagina 1 di 1

Cisco PIX global command

Inviato: mer 16 gen , 2008 10:48 am
da Coboldo
Buongiorno a tutti.

Ho un cisco pix firewall (v. 7) con la seguente configurazione:

nat-control
global (outside) 1 12.34.56.78 (con 12.34.56.78 indirizzo ip pubblico)
nat (inside) 1 192.168.1.0 255.255.255.0
static nat (inside, outside) tcp 12.34.56.79 smtp 192.168.1.1 smtp netmask 255.255.255.255
(con 12.34.56.79 secondo indirizzo ip pubblico)
altre regole static nat

Correggetemi se dico vaccate :)
La prima regola mi "natta" in uscita tutti gli indirizzi della mia rete interna su un unico indirizzo ip pubblico (in questo caso 12.34.56.78 ).
Anche se poi esistono altre regole static nat come nell'esempio, queste vengono sovrascritte dalla prima regola.

Ad esempio la seconda regola natta un mail server che ha come indirizzo privato 192.168.1.1, sull'indirizzo ip pubblico 12.34.56.79
In pratica quando il mail server invia una mail ad un altro mail server, quest'ultimo si vedrà arrivare una mail dall'indirizzo 12.34.56.78 (in base alla prima regola).
E' corretto tutto ciò?

Nel caso volessi togliere la prima regola e lasciare uscire liberamente tutti gli indirizzi ip pubblici senza che vengano nattati sull'indirizzo ip pubblico prestabilito, come posso fare?

Grazie.

Inviato: gio 17 gen , 2008 10:38 am
da Coboldo
Nessuno che sa darmi un aiuto? :(

Inviato: gio 17 gen , 2008 11:31 am
da cisketto
Allora,
la "global (outside) 1 12.34.56.78" associata alla nat "nat (inside) 1 192.168.1.0 255.255.255.0" fa sì che tutta la tua rete 192.168.1.0/24 esca dall'interfaccia outside con l'IP 12.36.56.78.

la "static nat (inside, outside) tcp 12.34.56.79 smtp 192.168.1.1 smtp netmask 255.255.255.255" fa invece sì che il tuo server 192.168.1.1 sia pubblicato sull'interfaccia outside con ip 12.34.56.79. Ciò significa che puoi raggiungere il tuo server da un client attestato sull'outside puntando all'ip 12.34.56.79 (Previa ACL configurata).

In pratica non è che la regola di NAT sovrascriver la Statica.
La nat/global ti server per fare in modo che gli indirizzi della rete inside (nel tuo caso inside) escano da un'altra interfaccia (nel tuo outside) utilizzando un determinato indirizzo IP (o pool di IP).

La statica invece ti server per associare in modo statico 1 indirizzo IP dell'inside ad un indirizzo IP dell'outside (nel tuo caso) e far quindi sì che sia possibile raggiungere un ip interno puntando ad un indirizzo appartenente alla rete outside.

nat/global -> traffico Outgoing
static -> Traffico Incoming

Se vuoi fare in modo che non sia usato un solo IP Pubblico ma l'intero range a tua disposizione puoi specificare il pool nella regola di global.

Ciao!

Inviato: gio 17 gen , 2008 12:02 pm
da Coboldo
Grazie della spiegazione :)

allora però mi trovo di fronte ad un dilemma...

Facendo sempre riferimento all'esempio precedente:
Nel momento in cui mi trovo a dover inviare una mail dal mio server mail ad un altro server mail (ad esempio di google), il server di google si vedrà arrivare una richiesta da quale indirizzo IP ?
dall'indirizzo ip 12.34.56.78 (secondo la regola global) oppure con il corretto indirizzo ip 12.34.56.79 del server mail (secondo la regola static nat) ?

Inviato: ven 18 gen , 2008 1:01 pm
da cisketto
Direi l'ip specificato nella global...
Tutti gli orari sono UTC+01:00
Pagina 1 di 1

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Store.it