Ciao a tutti,
inizio col dire che sono molto vicino alla qualifica di "inesperto" in materia, quindi vi chiedo di perdonare le eventuali castronerie che potrei scrivere e la banalità della richiesta.
Avrei bisogno di un aiuto riguardo la riconfigurazione del mio
firewall Cisco Pix 501.
Ho cambiato provider internet e mi è stato consegnato un nuovo router
che è configurato in maniera tale da avere, sull'interfaccia Ethernet
che "guarda" verso la mia rete interna, il primo indirizzo pubblico del
pool che ho acquistato, quindi XXX.XX.XXX.209 (questo dato me l'ha dato
il provider e quindi ne sono certo).
Il gateway utilizzato dalla nostra LAN è 192.168.242.1 (che è anche
l'IP dell'interfaccia del firewall verso l'interno).
L'indirizzo IP privato del router che abbiamo sinora usato e che dobbiamo cambiare è 192.168.242.2
Dalle mie poche conoscenze in campo, ho immaginato che, per rendere
"visibile" il nuovo router ai PC della mia LAN, la cosa da fare è far
sì che sul firewall vi sia un NAT che mi permetta di associare
l'indirizzo privato del router che stiamo utilizzando da qualche anno
(192.168.242.2) a quello pubblico del nostro nuovo router.
Già qui vi chiederei di dirmi se sto sbagliando modus operandi...
Ho quindi aggiunto le seguenti righe alla configurazione del mio PIX
Cisco (ho già altri 3 NAT configurati che funzionano bene):
nat (inside) 4 192.168.242.2 255.255.255.255 0 0
static (inside,outside) XXX.XX.XXX.209 192.168.242.2 netmask 255.255.255.255 0 0
Purtroppo però queste semplici righe, che mi sono state sufficienti in
passato per rendere raggiungibili dall'esterno alcuni servizi sui
alcuni miei server, in questo caso non mi sono state utili: le cose non funzionano.
Ho pensato che forse il tutto è dovuto al fatto che sto facendo
questa cosa su un router e non su un server sulla mia rete interna,
quindi le cose sono un po' diverse. Purtroppo però le poche
conoscenze in mio possesso non sono in grado di darmi aiuto.
Siete in grado di darmi una mano?
Vi copio / incollo alcune righe della mia configurazione del firewall (che non ho installato io, come forse avrete già capito) che forse possono essere utili alla vostra analisi:
interface ethernet0 10baset
interface ethernet1 10full
.
.
.
ip address outside 192.168.242.2 255.255.255.0
ip address inside 192.168.242.1 255.255.0.0
.
.
.
route outside 0.0.0.0 0.0.0.0 192.168.242.1 1
Vi sarei infinitamente grato per qualsiasi ragguaglio sarete in grado
di darmi.
Ringrazio anticipatamente chiunque voglia partecipare alla
discussione.
Marco
Questa sicuramente per voi è facile... NAT su PIX !!!
Moderatore: Federico.Lagni
-
MaiO
- Messianic Network master
- Messaggi: 1083
- Iscritto il: sab 15 ott , 2005 10:55 am
- Località: Milano
- Contatta:
-=] MaiO [=-
-
marqo
- n00b
- Messaggi: 4
- Iscritto il: gio 14 set , 2006 3:05 pm
Grazie per il link.
Ho visto l'esempio che farebbe al caso mio ("Two Interfaces with NAT- Basic), ma, nonostante mi sia applicato, non ho ottenuto i risultati sperati.
La configurazione che ho scritto è questa:
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password GJRRi4nf8ktKiYyH encrypted
passwd dNjmOrWCBcmpp1Fz encrypted
hostname pixfirewall
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
pager lines 24
interface ethernet0 10baset
interface ethernet1 10full
mtu outside 1500
mtu inside 1500
***ip address outside 212.31.239.209 255.255.255.240***
ip address inside 192.168.242.1 255.255.0.0
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
***nat (inside) 1 0 0***
***route outside 0.0.0.0 0.0.0.0 212.31.239.209 1***
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat
telnet 192.168.242.0 255.255.255.0 inside
telnet timeout 15
ssh timeout 5
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
terminal width 80
le righe contrassegnate da *** sono quelle diverse rispetto alla configurazione precedente.
Il mio dubbio riguarda il fatto nella pagina con gli esempi di configurazione PIX che mi è stata suggerita, l'indirizzo IP ADDRESS OUTSIDE e l'indirizzo ROUTE OUTSIDE sono differenti.
Il mio provider mi ha confermato che 212.31.239.209 è l'indirizzo dell'interfaccia del router, devo quindi usare un altro indirizzo del pool di indirizzi pubblici assegnatomi da associare alla riga IP ADDRESS OUTSIDE?
L'altra cosa che non mi convince è la riga:
global (outside) 1 interface
Qui va bene così oppure è necessario modificare qualcosa?
Un ultimo quesito (vedetelo come un ripasso e un'opera buona allo stesso tempo).
Un volta completata la configurazione, sui vari client interni cosa dovrei mettere come gateway, a me sembra giusto continuare a farli puntare su 192.168.242.1 che è il firewall, me lo confermate?
Vi ringrazio moltissimo...
Sono un po' nelle canne e ogni vostro suggerimento è veramente apprezzato.
Ho visto l'esempio che farebbe al caso mio ("Two Interfaces with NAT- Basic), ma, nonostante mi sia applicato, non ho ottenuto i risultati sperati.
La configurazione che ho scritto è questa:
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password GJRRi4nf8ktKiYyH encrypted
passwd dNjmOrWCBcmpp1Fz encrypted
hostname pixfirewall
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
pager lines 24
interface ethernet0 10baset
interface ethernet1 10full
mtu outside 1500
mtu inside 1500
***ip address outside 212.31.239.209 255.255.255.240***
ip address inside 192.168.242.1 255.255.0.0
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
***nat (inside) 1 0 0***
***route outside 0.0.0.0 0.0.0.0 212.31.239.209 1***
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat
telnet 192.168.242.0 255.255.255.0 inside
telnet timeout 15
ssh timeout 5
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
terminal width 80
le righe contrassegnate da *** sono quelle diverse rispetto alla configurazione precedente.
Il mio dubbio riguarda il fatto nella pagina con gli esempi di configurazione PIX che mi è stata suggerita, l'indirizzo IP ADDRESS OUTSIDE e l'indirizzo ROUTE OUTSIDE sono differenti.
Il mio provider mi ha confermato che 212.31.239.209 è l'indirizzo dell'interfaccia del router, devo quindi usare un altro indirizzo del pool di indirizzi pubblici assegnatomi da associare alla riga IP ADDRESS OUTSIDE?
L'altra cosa che non mi convince è la riga:
global (outside) 1 interface
Qui va bene così oppure è necessario modificare qualcosa?
Un ultimo quesito (vedetelo come un ripasso e un'opera buona allo stesso tempo).
Un volta completata la configurazione, sui vari client interni cosa dovrei mettere come gateway, a me sembra giusto continuare a farli puntare su 192.168.242.1 che è il firewall, me lo confermate?
Vi ringrazio moltissimo...
Sono un po' nelle canne e ogni vostro suggerimento è veramente apprezzato.
-
MaiO
- Messianic Network master
- Messaggi: 1083
- Iscritto il: sab 15 ott , 2005 10:55 am
- Località: Milano
- Contatta:
So di fretta, a colpo d'occhio hai sbagliato la defoult route.
Interfaccia outside di pix deve evere un ip diverso rispetto a quella del router. La defoult route deve puntare some next hop verso l'ip del router.
percio queste due righe non hanno senso.
ip address outside 212.31.239.209 255.255.255.240
route outside 0.0.0.0 0.0.0.0 212.31.239.209 1
Se è come dici tu il del router .209 l'interfaccia del pix deve avere un'altro ip ad esempio.
ip address outside 212.31.239.210 255.255.255.240
route outside 0.0.0.0 0.0.0.0 212.31.239.209 1
Poi questa non ti serve: nat (inside) 1 0 0
La riga global (outside) 1 interface è perfetta. Gli indichi di fare il pat via ip dell'interfaccia.
Ciao
Interfaccia outside di pix deve evere un ip diverso rispetto a quella del router. La defoult route deve puntare some next hop verso l'ip del router.
percio queste due righe non hanno senso.
ip address outside 212.31.239.209 255.255.255.240
route outside 0.0.0.0 0.0.0.0 212.31.239.209 1
Se è come dici tu il del router .209 l'interfaccia del pix deve avere un'altro ip ad esempio.
ip address outside 212.31.239.210 255.255.255.240
route outside 0.0.0.0 0.0.0.0 212.31.239.209 1
Poi questa non ti serve: nat (inside) 1 0 0
La riga global (outside) 1 interface è perfetta. Gli indichi di fare il pat via ip dell'interfaccia.
Ciao
-=] MaiO [=-
-
marqo
- n00b
- Messaggi: 4
- Iscritto il: gio 14 set , 2006 3:05 pm
Grazie davvero.
Adesso l'interfaccia del PIX ha indirizzo 212.31.239.210, mentre la "route ouside" è configurata sull'IP 212.31.239.209.
Ora funziona tutto.
L'unica cosa ancora "anomala", perlomeno riguardo quel che mi hai suggerito tu, è che se tolgo la riga:
nat (inside) 1 192.168.242.0 255.255.255.0 0 0
non riesco a navigare, sono obbligato a lasciarla, pena l'impossibilità di uscire dal router.
Ormai il mio obiettivo (navigare su Internet) l'ho ottenuto, vi chiedo solo - se ne avete la possibilità - un suggerimento riguardo la necessita di questo NAT, in maniera tale da imparare ulteriormente qualcosa di nuovo.
Grazie ancora
Marco
Adesso l'interfaccia del PIX ha indirizzo 212.31.239.210, mentre la "route ouside" è configurata sull'IP 212.31.239.209.
Ora funziona tutto.
L'unica cosa ancora "anomala", perlomeno riguardo quel che mi hai suggerito tu, è che se tolgo la riga:
nat (inside) 1 192.168.242.0 255.255.255.0 0 0
non riesco a navigare, sono obbligato a lasciarla, pena l'impossibilità di uscire dal router.
Ormai il mio obiettivo (navigare su Internet) l'ho ottenuto, vi chiedo solo - se ne avete la possibilità - un suggerimento riguardo la necessita di questo NAT, in maniera tale da imparare ulteriormente qualcosa di nuovo.
Grazie ancora
Marco
-
MaiO
- Messianic Network master
- Messaggi: 1083
- Iscritto il: sab 15 ott , 2005 10:55 am
- Località: Milano
- Contatta:
Questa mi piace già di più 
Guarda se questo ti chiarisce le idee:
http://www.netcraftsmen.net/welcher/papers/pix01.html
io ti suggerivo di togliere
Ciao[/code]
Codice: Seleziona tutto
nat (inside) 1 192.168.242.0 255.255.255.0 0 0
http://www.netcraftsmen.net/welcher/papers/pix01.html
io ti suggerivo di togliere
Codice: Seleziona tutto
Poi questa non ti serve: nat (inside) 1 0 0
-=] MaiO [=-
