Pagina 1 di 1
NAT ip pubblico, eccetto telnet
Inviato: mer 24 apr , 2013 12:07 pm
da davide0522
Salve
Ho un 837 presso un cliente che vuole che l'ip pubblico sia completamente nattato su un ip privato
Es 80.80.80.80 -> 10.0.0.3
Io metto per esempio
ip nat inside source static 10.0.0.3 80.80.80.80 extendable no-alias
Ma in questo modo mi taglio fuori dall'accesso telnet al router (essendo anche telenet nattato)
Come posso fare per dire: NATTA TUTTO TRANNE TELNET ?
Considerate che viene nattato tutto sul firewall, quindi non ci sono acl, filtri o altro.
Grazie per le risposte
Re: NAT ip pubblico, eccetto telnet
Inviato: dom 28 apr , 2013 2:43 pm
da wetel
Ciao,
secondo me la cosa migliore è configurare il router direttamente con ip pubblico, evitando i nat.
Leggi qui:
http://www.ciscoforums.it/viewtopic.php?f=22&t=9823
Re: NAT ip pubblico, eccetto telnet
Inviato: dom 28 apr , 2013 2:57 pm
da davide0522
Grazie della risposta, ma quella configurazione presuppone che il mio ISP mi dia 1 IP sulla punto punto più una subnet di 4 IP (e in quel caso nel metto uno sul router e l'altro per il firewall)
Ma io vorrei poter ottenere di "pubblicare" l'apparato interno senza però precludermi l'accesso telenet al router, ma avendo disponibile 1 solo IP pubblico
Re: NAT ip pubblico, eccetto telnet
Inviato: dom 28 apr , 2013 3:52 pm
da wetel
Se usi le Policy NAT? Nella extended acl potresti indicare il range di porte da considerare/escludere.
Re: NAT ip pubblico, eccetto telnet
Inviato: dom 28 apr , 2013 4:02 pm
da davide0522
Ho spulciato un po' in gito e fatto una cosa del genere.
Non ho modo di testarla al momento, proverò domani...
Anche se non mi è chiaro il concetto di "rotary"
Su cui comunque applico una lista al cui interno nego telnet e consento tutto il resto
Dici che potrebbe funzionare ?
Codice: Seleziona tutto
interface Ethernet0
ip address 10.0.0.2 255.255.255.0
ip nat inside
ip virtual-reassembly
hold-queue 100 out
!
!
interface ATM0
no ip address
atm vc-per-vp 64
no atm ilmi-keepalive
dsl operating-mode auto
max-reserved-bandwidth 100
!
interface ATM0.1 point-to-point
no snmp trap link-status
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface Dialer1
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
no ppp chap wait
ppp pap sent-username aaa password aaa
no ppp pap wait
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
!
no ip http server
no ip http secure-server
!
ip nat pool PORTFWD 10.0.0.3 10.0.0.3 netmask 255.255.255.0 type rotary
ip nat inside source list 102 interface Dialer1 overload
ip nat inside destination list 101 pool PORTFWD
!
access-list 23 permit 10.0.0.0 0.0.0.255
access-list 101 deny tcp any any eq telnet
access-list 101 permit ip any any
access-list 102 permit ip 10.0.0.0 0.0.0.255 any
!
Re: NAT ip pubblico, eccetto telnet
Inviato: dom 28 apr , 2013 5:14 pm
da wetel
Io farei così:
Codice: Seleziona tutto
ip nat inside source static 10.0.0.3 80.80.80.80 route-map NAT extendable
access-list 110 deny tcp host 10.0.0.3 any eq 23
access-list 110 permit ip any any
route-map NAT permit 10
match ip address 110
Re: NAT ip pubblico, eccetto telnet
Inviato: mer 15 mag , 2013 2:46 pm
da Braveheart84
scusate, ma non si dovrebbe scrivere "permit" sull'ACL anziché "deny"?
Re: NAT ip pubblico, eccetto telnet
Inviato: gio 16 mag , 2013 8:00 am
da Rizio
Braveheart84 ha scritto:scusate, ma non si dovrebbe scrivere "permit" sull'ACL anziché "deny"?
Ma l'op nel primo post dice che vuole BLOCCARE il telnet facendo passare tutto perciò mi sembra che l'acl sia corretta così.
Rizio
Re: NAT ip pubblico, eccetto telnet
Inviato: gio 16 mag , 2013 7:11 pm
da Braveheart84
mhhh sicuro? A me non sembra!;)
Re: NAT ip pubblico, eccetto telnet
Inviato: ven 17 mag , 2013 7:43 am
da Rizio
Braveheart84 ha scritto:mhhh sicuro? A me non sembra!;)
Si, in effetti non è che sia proprio chiarissimo:
Ma in questo modo mi taglio fuori dall'accesso telnet al router (essendo anche telenet nattato)
Come posso fare per dire: NATTA TUTTO TRANNE TELNET ?
Mah, vabbè, speriamo che ce l'abbia fatta dai.
Rizio
Re: NAT ip pubblico, eccetto telnet
Inviato: sab 18 mag , 2013 11:43 am
da davide0522
Ciao a tutti
Ho trovato tempo solo ora di ridedicarmi a questa cosa
Non è che voglio bloccare il telnet
Voglio praticamente nattare tutte le porte dell'ip pubblico su un device interno
Ma tenermi la sola porta telnet aperta per accedere al router.
Re: NAT ip pubblico, eccetto telnet
Inviato: sab 18 mag , 2013 3:02 pm
da wetel
Con la mia acl il nat trasla tutto tranne la 23.
Re: NAT ip pubblico, eccetto telnet
Inviato: sab 18 mag , 2013 3:13 pm
da davide0522
Ciao
Ho appena provato
In effetti la 23 non viene traslata (ho provato a montare un telnet server dall'altra parte e non ci arrivo, ed è corretto)
Ma nemmeno in telnet riesco a salire sul router.
Ho scoperto un altro problema
Il mio cliente, dietro, ha un vpn server e necessita che gli traslo il gre.
Ma non ho trovato niente a riguardo
Ovvero, alla fine stato facendo una pat per singole porte che richiedevano, ma non ho trovato un comando simile del tipo
ip nat inside suorce static gre
Detto questo penso che la cosa migliore sia che chiedo una subnet da 4 ip al provider a faccio il lavoretto pulito con un ip pubblico sulla lan e l'altro ip pubblico alla wen del fw
Che dite ? O vale la pena che ci smadonno un altro po ?
Re: NAT ip pubblico, eccetto telnet
Inviato: sab 18 mag , 2013 6:12 pm
da wetel
Sicuramente avere un apparato che non faccia nat su classi private è una soluzione ottimale.
Re: NAT ip pubblico, eccetto telnet
Inviato: dom 19 mag , 2013 4:03 pm
da davide0522
Aggiudicato. Fatto ordine per subnet 4 ip all'ISP
Certo in questo modo il firewall è pubblico puro e non ci sono rogne.
Resta un po' la curiosità ....
Grazie a tutti per il supporto comunque, siete stati gentilissimi !