CiscoForums.it

Salve a tutti, devo configurare come fa oggetto una connessione con 8 ip pubblici e dato che non mi è mai capitato prima di fare una configurazione simile mi chiedevo se come ho pensato di fare poteva andare bene,
Cercando sul sito cisco ho trovato questo http://www.cisco.com/en/US/tech/tk175/t ... 3e51.shtml il quale si riferisce però solo a 1 solo ip, per mappare gli altri ip pensavo che bastava aggiungere soltanto la seguente riga per ogni singolo indirizzo ip da associare a uno della lan(il cliente questo mi ha chiesto):
ip nat inside source static tcp 192.168.xxx.xxx 171.yyy.yyy.yyy

Voi che ne pensate? Potrebbe andar bene?!
Un ultima cosa sulla conf mi conviene mettere : ip route 0.0.0.0 0.0.0.0 atm0/1(interface o subinterface che sarà) oppure ip route 0.0.0.0 0.0.0.0 171.yyy.yyy.yyy(default gateway)
Se ci sta una conf che è stata già trattata con questo tipo di configurazione qualcuno sa dirmi dove guardare?(ho cercato ma non ho trovato molto in proposito...)

In questo modo con il nat statico potrai fare uscire in rete solo 6 macchine con i 6 ip pubblici, e lo puoi fare nel modo descritto da te; oppure con un interfaccia secondaria dell'eth0, assegnando alle macchine stesse l'indirizzo pubblico e nel router il range di indizzi pubblici.

Comunque forse ti conviene in dinamico, un domani con l'aggiunta di altre macchine,potrebbe tornare utile.

Potrei usare un ip con un nat overload per la navigazione e poi fare con ip nat inside source static per gli ip delle macchine con accesso diretto a internet.

Allora, alla fine ho creato una conf grazie anche a una conf di wizard!
Il risultato è questo:

version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname teicom
!
boot-start-marker
boot-end-marker
!
enable secret 5 cappuccio
!
no aaa new-model
clock timezone MET 1
clock summer-time MEDT recurring last Sun Mar 2:00 last Sun Oct 3:00

no ip source-route
no ip gratuitous-arps
ip icmp rate-limit unreachable 1000
!
!
!
ip cef
ip name-server 151.99.125.1
ip name-server 151.99.0.100
!
!
!
username ciccio password 7 cappuccio
!
!
interface Ethernet0
ip address 172.16.16.27 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip mroute-cache
hold-queue 100 out
!
!
interface ATM0
description ALICE BUSINESS 20 Mbps - TGU: ***
mtu 1500
no ip address
no atm ilmi-keepalive
dsl operating-mode auto (oppure adsl2 o adsl2+)

interface ATM0.1 point-to-point
description INTERFACCIA PER ACCESSO AD INTERNET
mtu 1500
ip address 88.xx.xx.21 255.255.255.248
ip access-group 131 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting access-violations
ip inspect IDS out
ip nat outside
ip virtual-reassembly
no ip mroute-cache
no snmp trap link-status
pvc 8/35
encapsulation aal5snap
!
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
no ip http server
no ip http secure-server
ip nat pool INTERNET 88.xx.xx.21 88.xx.xx.21 netmask 255.255.255.248
ip nat inside source list 100 pool INTERNET overload
ip nat inside source static 172.16.16.51 88.xx.xx.17
ip nat inside source static 172.16.16.52 88.xx.xx.18
ip nat inside source static 172.16.16.53 88.xx.xx.19
ip nat inside source static 172.16.16.54 88.xx.xx.20
ip nat inside source static 172.16.16.55 88.xx.xx.22
access-list 100 remark *************************************************************
access-list 100 remark *** ACL PER PAT E NAT0 ***
access-list 100 permit ip 172.16.16.0 0.0.0.255 any
!
access-list 131 remark *************************************************************
access-list 131 remark *** ACL ANTI-SPOOFING ***
access-list 131 deny ip host 0.0.0.0 any log
access-list 131 deny ip 127.0.0.0 0.255.255.255 any log
access-list 131 deny ip 192.0.2.0 0.0.0.255 any log
access-list 131 deny ip 224.0.0.0 31.255.255.255 any log
access-list 131 deny ip 10.0.0.0 0.255.255.255 any log
access-list 131 deny ip 172.16.0.0 0.15.255.255 any log
access-list 131 deny ip 192.168.0.0 0.0.255.255 any log
access-list 131 remark *************************************************************
access-list 131 remark *** ACL PER CONTROLLARE TRAFFICO ICMP ***
access-list 131 permit icmp any any echo
access-list 131 permit icmp any any echo-reply
access-list 131 permit icmp any any time-exceeded
access-list 131 permit icmp any any unreachable
access-list 131 permit icmp any any administratively-prohibited
access-list 131 permit icmp any any packet-too-big
access-list 131 permit icmp any any traceroute
access-list 131 deny icmp any any
access-list 131 remark *************************************************************
access-list 131 remark *** ACL PER BLOCCARE L'ACCESSO A VIRUS E ATTACCHI ***
access-list 131 deny tcp any any eq 135
access-list 131 deny udp any any eq 135
access-list 131 deny udp any any eq netbios-ns
access-list 131 deny udp any any eq netbios-dgm
access-list 131 deny tcp any any eq 139
access-list 131 deny udp any any eq netbios-ss
access-list 131 deny tcp any any eq 445
access-list 131 deny tcp any any eq 593
access-list 131 deny tcp any any eq 2049
access-list 131 deny udp any any eq 2049
access-list 131 deny tcp any any eq 2000
access-list 131 deny tcp any any range 6000 6010
access-list 131 deny udp any any eq 1433
access-list 131 deny udp any any eq 1434
access-list 131 deny udp any any eq 5554

access-list 131 deny udp any any eq 9996
access-list 131 deny udp any any eq 113
access-list 131 deny udp any any eq 3067
access-list 131 remark *************************************************************
access-list 131 remark *** ACL PER BLOCCARE ACCESSI NON AUTORIZZATI ***
access-list 131 deny ip any any log
!
control-plane

banner motd ^C
****************************************************************
----------------------------------------------------------------
* *** ROUTER PERIMETRALE ---- *** *
----------------------------------------------------------------
* WARNING: System is RESTRICTED to authorized personnel ONLY! *
* Unauthorized use of this system will be logged and *
* prosecuted to the fullest extent of the law. *
* *
* If you are NOT authorized to use this system, LOG OFF NOW! *
* *
****************************************************************
^C

line con 0
exec-timeout 120 0
login local
no modem enable
transport output ssh
stopbits 1
line aux 0
login local
transport output ssh
stopbits 1
line vty 0 4
exec-timeout 0 0
login local
transport input telnet ssh
transport output telnet ssh

scheduler max-task-time 5000
scheduler interval 500
sntp server 193.204.114.232
sntp server 193.204.114.233
sntp server 193.204.114.105
end

Ancora devo metterla sul router(anche perchè io sto a BAri e il router sta a Roma) e volevo sapere se secondo voi ci sono errori o devo aggiungere/modificare/correggere qualcosa.

Dai dati che ho hanno 8 ip che vanno dal 17 al 22 con subnetmask 248 quindi il 16 e il 23 non possono essere utilizzati, loro vogliono che alcuni host vengano esposti completamente su internet e ognuno ha il suo ip.
L'ip 172.16.16.27 è il router stesso e ho fatto l'overload su quell'ip perchè con quello usciranno tutti gli host quando vanno su internet.
Grazie in anticipo per le risposte che mi darete.

La ACL 108 non c'è...

Ooops è un rimasuglio della confi originale...ora lo cancello!
Per il resto sembra andar bene giusto?!

Si x il resto mi sembra OK...

Grazie un milione per l'aiuto! Ti devo una birra o se preferisci una berta!(E' grappa! Chi se ne intende sa di cosa parlo)

Yuuhuu! la configurazione andava bene e ha funzionato quasi tutto...l'acl antispoofing se la lasciavo sulla configurazione non si riusciva a navigare.
Se la rete lan è 172.16.16.0 su quella access-list devo modificare qualcosa o va bene così?!