Chiedo scusa....Multigroup e ACL fatte per benino...

[zot]

Allora,ho fatto una configuarazione che,spero vivamente vada con una multigroup con 8 ip assegnati....preciso che a me ne serve solo 1.
Dietro il router un 827-4V c'è un PC dove gira un DB SQL ed a cui ci si devono poter collegare due sedi.
Il mio problema è che voglio assolutamente che il NAT che dovrei fare sulla porta 1433 (SQL)sia accessibile SOLO da indirizzi IP specifici e che il PC con su il DB possa uscire solo(ovviamnete)sulla porta 1433 e sulla 80(per navigazione)
Come le posso settere le ACL?
lo so che probabilmente è stato già trattato ma non riesco a trovare nulla che riesco ad adattare alla mia situazione.
Grazie.

Current configuration : 1238 bytes
!
version 12.3
no service pad
no service timestamps debug uptime
no service timestamps log uptime
service password-encryption
!
hostname 827pow
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$LTcu$bi7wHdc9RSRkzTGgdLzsc1
!
no aaa new-model
ip subnet-zero
!
ip domain name interbusiness.it
ip name-server 151.99.125.1
ip name-server 151.99.0.100
ip ssh version 2
!
username xxxx password xxxxxxxx
!
!
no crypto isakmp ccm
!
interface Ethernet0
description CRWS Generated text. Please do not delete this:10.10.10.254-255.255.255.0
ip address 192.168.0.144 255.255.255.0 secondary
ip address 88.xxx.xxx.225 255.255.255.248
ip nat inside
!
interface ATM0
no ip address
no atm ilmi-keepalive
bundle-enable
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip unnumbered Ethernet0
ip nat outside
pvc 8/35
encapsulation aal5snap
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
no ip http server
no ip http secure-server
!
control-plane
!
voice-port 1
!
voice-port 2
!
voice-port 3
!
voice-port 4
!
line con 0
exec-timeout 120 0
stopbits 1
line vty 0 4
exec-timeout 120 0
login local
length 0
transport input ssh
!
scheduler max-task-time 5000
end

[TheIrish]

Quale NAT? io non vedo alcuna regola di NAT... cmq il nat non ha nulla a che vedere con il filtraggio degli indirizzi. Forse ho capito male, ma dalla conf attuale mi sembra di capire che il server abbia un ip pubblico, o sbaglio?

[zot]

No,il "server"(una fetenzia di PC Client)non ha indirizzo IP pubblico.
Semplicemente perchè non mi fido di mettere con un IP pubblico un Windows XP che non ho configurato/installato io...da qui la scelta di NON usare nessuno degli indirizzi IP pubblici messi a disposizione dal contratto ADSL(se non per il router)ma di nattare la porta SQL sul "server" e di abilitare in uscita (sempre dal server con SQL)solo le porte 80(per navigazione) e la 1433(porta che usa il servizio SQL).
Un'ulteriore sicurezza la voglio adottare rendendo possibile il NAT sulla porta 1433 SOLO da alcuni indirizzi IP pubblici.
E non so proprio da dove iniziare.....

IL NAT e le ACL non le ho ancora scritte perchè......non so che metterci!!

[zot]

Una cosa del genere?

ip nat inside source list 101 interface Ethernet0 overload
ip nat inside source static tcp 192.168.0.1 1433 interface Ethernet0 1433
!
access-list 101 permit tcp any host 192.168.0.1 eq 80
access-list 101 permit udp any host 192.168.0.1 eq 53
access-list 101 permit tcp any host 192.168.0.1 eq 1433
access-list 102 permit tcp any host 81.xxx.xxx.xxx eq 1433
access-list 102 permit tcp any host 88.xxx.xxx.xxx eq 1433

[zot]

Sto facendo delle prove e con solo

ip nat inside source list 101 interface Ethernet0 overload
ip nat inside source static tcp 192.168.0.1 3389 interface Ethernet0 3389

e mi fa entrare in desktop remoto!!!!!
Senza che gli ho dato nessuna ACL ....è normale!!???

In pratica solo con ip nat inside source static tcp 192.168.0.1 3389 interface Ethernet0 3389 il traffico sulla 3389 è autorizzato???

[zot]

imposta una regola di nat:

Codice: Seleziona tutto

ip nat inside source list 1 interface ethernet 0 overload
access-list 1 permit 192.168.0.0 0.0.0.255

natta la porta che ti serve:

Codice: Seleziona tutto

ip nat inside source static tcp 192.168.0.1 3389 interface ethernet 0 3389

Crea l'access-list ke ti permette l'ingresso.

La cosa che non capisco è proprio quella che NON HO CREATO NESSUNA ACCESS-LIST eppure,dato un semplice NAT ovvero ip nat inside source static tcp 192.168.0.1 3389 interface ethernet 0 3389 il router mi natta la 3389 e MI FA ANCHE ACCEDERE.

Cmq qualcuno di buon cuore mi dice come dare la possibilità di accedere al desktop remoto solo da un'indirizzo IP specifico?
Grazie.

[zot]

PORCA VACCA....il router non risponde più.......mi ci collego,mi chiede l'utente,mi chiede la password......ma dopo che l'ho messa rimane li fermo.......ma che cavolo!!!!!E il desktop remoto continua a funzionare...................

[zot]

show ip nat translation udp

Un cazzo di cinese era collegato al mio DB SQL ......
Perchè quel deficente di programmatore aveva tolto la password al DB...."per provare meglio".........speriamo bene.........

DITEMI COSE SI ABILITA UNA NAT SOLO DA UN IP.............. !!!!

[zot]

Calma,ricorda : Se c'è soluzione perchè t'arrabbi?

E' semplice :

ip nat inside source static tcp IP_INTERNO 3389 interface Dialer0 3389
!
access-list 150 permit tcp host IP_PUBBLICO any eq 3389
!
interface Dialer0
ip access-group 150 in

Basta poco che ce vo?

[Wizard]

ip nat inside source static tcp IP_INTERNO 3389 interface Dialer0 3389
!
access-list 150 permit tcp host IP_PUBBLICO any eq 3389
!
interface Dialer0
ip access-group 150 in

Basta poco che ce vo?

Si, è corretto ma se metti solo così dal interno non navigherà + nessuno perchè alla fine della acl c'è un deny ip any any implicito.
Come già detto lascia la acl così (magari popolala un po' di + ad esempio con l'assesso in telnet o ssh x teleconfigurazione) e configura l'ip inspect in uscita.[/quote]

[zot]

Si,giusto,volevo dare una risposta al post che è un pò vecchio...così se qualcuno cerca....