CiscoForums.it

Ciao a tutti,

mi trovo a gestire diverse sottoreti private convergenti su un router cisco 1841 provvisto anche di collegamento a rete pubblica, con un set di 64 indirizzi pubblici.
Attualmente la configurazione del nat è la seguente:

ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source static 10.50.150.146 xx.xx.225.160
ip nat inside source static 10.50.163.66 xx.xx.225.161

La prima riga trasforma tutti i pacchetti coincidenti con le regola della ACL 1 in un pacchetto avente come IP sorgente quello assegnato alla WAN del router (Fastethernet 0/0). Le altre due sono nat 1 a 1 e non interessano al momento direi.

La mia idea è di creare una ACL per ogni cliente, definire una pool con un solo indirizzo pubblico per ogni cliente e un comando "ip nat inside source list..." per ogni cliente. Ad esempio:

!Cliente 1
ip nat pool cliente1 xx.xx.225.162 mask 255.255.255.255
ip nat inside source list 1 pool cliente1 overload
!Cliente2
ip nat pool cliente2 xx.xx.225.163 mask 255.255.255.255
ip nat inside source list 2 pool cliente2 overload

etc...

In questo modo il Cliente1 uscirà con un ip pubblico, il Cliente2 con un altro e così via, mantenendo la tracciabilità e diminuendo il rischio di farsi bannare dai server di posta un Ip pubblico usato da tutti.

Cosa pensate della soluzione proposta? E' corretta?
Grazie per l'aiuto!

Si è corretto!
Solo una cosa, x le acl del nat usa delle acl estese e non standard

Ok, grazie Wizard per il conforto tecnico!

Ciao
potresti postare la conf che vorrei chiarirmi una cosa?

Io ho letto con interesse il tuo post, ma mi sono rimasti alcuni dubbi sul NAT:

Dunque:

ho un dubbio mostruoso.

Fin da adesso ho sempre incontrato queste connettività statiche RFC1483
adsl:

Tipologia 1)

1 ip statico:

ip statico assegnatomi: atm0/0.1
Ip privato lato lan 192.168.0.254/24 sulla eth0 per esempio.

Facevo un nat overload e uscivo su internet dall'ip della punto punto, tutto
ok.

Tipologia 2)

ip statico assegnatomi: atm0/0.1
ip privato lato lan 192.168.0.254/24 sulla eth0 per esempio
pool /29 assegnato alla eth1 su cui mettevo direttamente i server.
Facevo un nat overload e uscivo su internet dall'ip della punto punto, tutto
ok.


Tipologia 2 BIS) adsl telecom
ip della punto punto sulla atm0/0.1
ip privato lato lan 192.168.0.254/24 sulla eth0 per esempio
metto il primo ip del pool /29 sempre come secondary sulla eth0
faccio un nat pool, inserendo solo l'ip del default gw (il primo ip della
/29) ed esco in internet dall'ip del gw della subnet /29.

------------------

Ora io mi chiedo:
ho visto sempre nelle config di molti, che mettono gli ip della subnet /29
sulla loopback, quindi:

considerando la connettività di tipologia B, dove ho anche una subnet /29:

atm0/0.1 ip statico assegnatomi
eth0 192.168.0.254/24
loopback0 1.1.1.1/29 (primo ip utile della subnet)


Io ora come mi comporto se volessi fare questa cosa?

Router: ATM0/0.1 ip pubblico
LOOPBACK0 primo ip della subnet /29 (esempio 1.1.1.1/29)
ETH0 172.16.0.0/24 "diciamo DMZ"

io metto i miei server che devo esporre fuori sulla rete 172.16.0.0,
esempio:

Mail server: 172.16.0.1 - forwardo dal router solo le porte 25/110
SERVER PROVA: voglio fare un nat statico del mio ip pubblico, esempio
1.1.1.3 -> su 172.16.0.3

ora come configuro i relativi NAT ed eventuali pool / nat overload???

Ciao,

io farei prima il port forwarding:

ip nat inside source static tcp 172.36.0.1 25 ip pubblico 25 extendable
ip nat inside source static tcp 172.36.0.1 110 ip pubblico 110 extendable


poi in nat 1:1

ip nat inside source static 172.36.0.2 1.1.1.3 extendable

e per la navigazione:

ip nat inside source list 1 int loopback0 overload

e nella acl1 escludi l'ip privato del nat 1:1.

Se vuoi utilizzare più ip pubblici per la navigazione ti fai un pool...

Ciao!!!