NAT 827 statico

Tutto quello che ha a che fare con le infrastrutture (non le configurazioni)

Moderatore: Federico.Lagni

Rispondi
syscinu
n00b
Messaggi: 7
Iscritto il: mar 20 mar , 2007 6:38 pm

Avrei bisogno di prendere il controllo di un PC della rete aziendale, da remoto, sono proprio agli inizi con cisco e anche con un simile problema.
Spero che mi potete aiutare .
Ho una rete con un cisco 827 come router, ip WAN statico a.b.c.d e ip LAN 192.168.1.254. All'interno della rete ho un Pc Xp con indirizzo 192.168.1.10, vorrei da casa, e solo da casa dove ho una connessione adsl con ip statico k.x.y.z, fare in modo di prendere il controllo del mio server in sede :(
Non sò se non stato chiaro..
non sò come configurare il NAT in ingresso in modo che da k.x.y.z. possa prendere il controllo di 192.168.1.10.....

GRAZIE 1000
Top
Avatar utente
Federico.Lagni
Network Emperor
Messaggi: 442
Iscritto il: dom 12 set , 2004 5:07 pm
Località: Vicenza
Contatta:
Contatta Federico.Lagni

Leggiti questa sezione qui:

http://www.areanetworking.it/index_docs ... to_del_NAT

Questo docs ti andrà anche bene per tutto il resto riguardante la configurazione dell'827.

In poche parole devi fare un port forwarding (qual è il servizio?).

Esempio:

Router(config‭)‬#ip nat inside source static tcp‭ ‬192.168.0.3‭ ‬80‭ ‬interface Dialer0‭ ‬80

per forwardare la porta 80 sull'host interno 192.168.0.3.
Top
syscinu
n00b
Messaggi: 7
Iscritto il: mar 20 mar , 2007 6:38 pm

Ho inserito la riga
ip nat ...........
ora forse devo fare una ACL per limitare che solo il mio pc di casa, sull'indirizzo k.x.y.z, possa accederci????
Infine sul computer di casa devo impostare una connessione desktop remoto sull'indirizzo del mio router quindi sull'indirizzo a.b.c.d ????

Premetto che attualmente nella mia rete interna utilizzo già il desktop remoto da un client interno per prendere il controllo dell'altro pc interno 192.168.1.10.
Top
syscinu
n00b
Messaggi: 7
Iscritto il: mar 20 mar , 2007 6:38 pm

scusate sempre l'ignoranza ma come faccio ad applicare le ACL alle varie interfaccie??
io ho aggiunto i seguenti comandi :

ip nat inside source static tcp 192.168.1.10 3389 interface ATM0.1 3389
access-list 121 permit tcp k.x.y.z any eq 3389
access-list 121 deny tcp any any eq 3389 log
access-list 122 permit tcp any 192.168.1.0 0.0.0.255 eq 3389

la access-list 121 dovrei applicarla all'interfaccia del router mentre l'access-list 122 a quella ethernet .....
pensate anche che possa funzionare al mio caso???
cavolo sono proprio a 0 lo riconosco e per questo vi chiedo cose forse stupide :(
grazie comunque
Top
[Dj][DMX]
Coamministratore
Messaggi: 428
Iscritto il: mer 24 nov , 2004 12:42 am
Località: Udine

Il comando per applicare una acl è ip access-group XXX(numero dell'acl) output/input
Nel tuo caso sarebbe input sull'interfaccia esterna e output sulla ethernet.
Però così come sono non vanno bene perchè tieni presente che in fondo ad ogni acl c'è un implicito deny ip any any quindi non potresti più navigare dai pc.
Leggi un po' su area networking o quì sul forum e vedrai che trovi i cambiamenti da apllicare.
Io non so se Dio esiste, ma se esiste spero abbia una buona scusa!
Piergiorgio Welby
Top
syscinu
n00b
Messaggi: 7
Iscritto il: mar 20 mar , 2007 6:38 pm

Che dici :(

ip nat inside source static tcp 192.168.1.10 3389 interface ATM0.1 3389
access-list 121 permit tcp k.x.y.z any eq 3389
access-list 121 deny tcp any any eq 3389 log
access-list 121 permit ip any any
access-list 122 permit tcp any 192.168.1.10 0.0.0.255 eq 3389
access-list 122 deny ip any any
interface atm0.1
access.group 121 in
exit
interface ethernet0
access-group 122 out
exit
Top
syscinu
n00b
Messaggi: 7
Iscritto il: mar 20 mar , 2007 6:38 pm

forse dovrei spostare nella sezione sicurazza questo post ... comunque magari sarà il moderatore che deciderà, ho iniziato male :)
scusi moderatore :)
Top
[Dj][DMX]
Coamministratore
Messaggi: 428
Iscritto il: mer 24 nov , 2004 12:42 am
Località: Udine

Assolutamente NO!
Ma non hai letto qualche ACL di altri utenti o qualche articolo su area networking?
Io non so se Dio esiste, ma se esiste spero abbia una buona scusa!
Piergiorgio Welby
Top
syscinu
n00b
Messaggi: 7
Iscritto il: mar 20 mar , 2007 6:38 pm

ho letto due articoli che avete su areanetworking sulle ACL, e uno COnfigurazione e approfondimenti cisco 827, ho visto degli esempi nella sezione sicurezza tra cui http://www.ciscoforums.it/viewtopic.php?t=4066
ma forse ignaro qualcosa :(

la ACL 121
1 - permette al mio Pc remoto k.x.y.z di entrare con la porta 3389, che è quella del desktop remoto,
2 - nega agli altri di entrare sulla 3389
3 - questa ho fatto il pappagallo dal precedente articolo, in effetti non ho idea di cosa possa arrivare dal protocollo ip
la ACL 122
1 - permette traffico Tcp sulla porta 3389 verso il mio pc interno di cui voglio prendere il controllo
2 - questa sempre per ignorante copiatura e comunque per il brower server la porta tcp 80 e qui blocco il traffico ip.

non capisco quindi dove sbaglio?
Top
syscinu
n00b
Messaggi: 7
Iscritto il: mar 20 mar , 2007 6:38 pm

credo che la mia ignoranza sia dovuta anche al fatto che solo una ACL può essere assegnata in o out ad una interfaccia, quindi con le mie 121 e 122 non definendo il tcp sulla porta 80 non posso fare brower....
non sò se è questo il problema non ho trovato posto dove parlava di un questa limitazione ho visto solo che possono essere create da 100a199 ACL quindi innaginavo di poterne assegnare anche 99 a ogni interfaccia e la seguenza fosse dal numero più piccolo al + grande e a pari numero dipendeva la seguenza di come erano state scritte.....!
Sbaglio anche in questo?
riuscite ad indicarmi un documento dove parla delle ACL sul protocollo ip
grazie, mi scuso se vi chiedo così tanto !
Top
Rispondi

Torna a “Infrastrutture Cisco”