CiscoForums.it

Cisco Users Group
https://www.ciscoforums.it/

Cisco 871: far accedere SOLO alcuni IP ad un IP privato

https://www.ciscoforums.it/viewtopic.php?f=10&t=9891

Pagina 1 di 1

Cisco 871: far accedere SOLO alcuni IP ad un IP privato

Inviato: sab 29 nov , 2008 12:11 pm
da dmargotti
Salve a tutti,
ho un router Cisco 871 e 8 IP disponibili.
Vorrei che da alcuni IP Internet (che conosco) si potesse accedere via RDP ad un server sulla LAN interna.

Ho inserito nella configurazione queste righe:

Codice: Seleziona tutto

ip nat inside source static tcp IP-INTERNO-MIO 3389 IP-PUBBLICO-MIO 3389 extendable

ip access-list extended mia_access_list 
 permit tcp host IP-FIDATO-1 host IP-PUBBLICO-MIO eq 3389
 permit tcp host IP-FIDATO-2 host IP-PUBBLICO-MIO eq 3389
 deny   tcp any host IP-PUBBLICO-MIO eq 3389
 permit ip any any
Però così non funziona, perché riesco ad accedere da QUALSIASI IP, anziché solo da quelli indicati come IP-FIDATO-1 e IP-FIDATO-2.

Dove sbaglio?

Grazie mille,
   Daniele

Inviato: sab 29 nov , 2008 4:21 pm
da hashashin
.
ciao,

la regola di nat e la relativa access-list sembrano giuste, però ci sono un paio di cose da controllare:

1) l'interfaccia configurata come "inside", è quella dove c'è la rete del "IP-INTERNO-MIO"?

2) l'access-list l'hai applicata all'interfaccia dove c'è la punto-punto con l'ISP??

facci sapere (magari se postassi la configurazione sarebbe meglio)

ciaoooooooo :D

Inviato: mar 02 dic , 2008 8:50 am
da dmargotti
hashashin ha scritto: 1) l'interfaccia configurata come "inside", è quella dove c'è la rete del "IP-INTERNO-MIO"?
Sì, confermo.
hashashin ha scritto: 2) l'access-list l'hai applicata all'interfaccia dove c'è la punto-punto con l'ISP??
Cosa intendi? Quali comandi devo usare per applicare l'access-list all'interfaccia wan?

Per questa access-list io ho preso spunto da qui:
http://www.experts-exchange.com/Hardwar ... 98045.html
L'access-list extended che permette l'accesso solo a determinati IP è chiamata (in questo esempio) inet-in, ma non la vedo "applicata" da nessun'altra parte nel resto della configurazione.


Le access-list extended vengono applicate prima o dopo le access-list numeriche? (O è ininfluente?)
Se da qualche parte nelle access-list numeriche ho un "permit ip any any", può darsi che influisca sul fatto che riescano ad entrare tutti gli IP (e non solo quelli che ho definito io)?

Grazie,
   Daniele

Inviato: mar 02 dic , 2008 12:55 pm
da dmargotti
Ho risolto (e mi rispondo da solo...).

Come suggeriva hashashin, mancava l'applicazione della access-list all'interfaccia:

Codice: Seleziona tutto

interface mia_interfaccia_verso_ISP
ip access-list extended mia_access_list
   Daniele
Tutti gli orari sono UTC+01:00
Pagina 1 di 1

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Store.it