Cisco 837 - Port forwarding

Maxwell · lun 25 giu , 2007 9:19 pm

Per impostare un PAT mi sembra di capire che sia necessaria una access list estesa in modo da consentire la comunicazione dall'esterno verso l'interno, quindi l'applicazione di questa all'interfaccia esterna, ed infine un nat statico per associare ip interno e relativa porta. Dunque quella che segue e' una configurazione diciamo base, funzionante.

Codice: Seleziona tutto

!
version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Hostname
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 
!
no aaa new-model
!
resource policy
!
no ip dhcp use vrf connected
ip dhcp excluded-address 172.20.210.1
!
ip dhcp pool CLIENT
   import all
   network 172.20.210.0 255.255.255.0
   default-router 172.20.210.1 
   dns-server 62.xxx 62.xxx
   lease 0 2
!
!
ip cef
ip name-server 62.xxx
ip name-server 62.xxx
!
!
!
username user privilege 15 secret
!
! 
!
!
!
interface Ethernet0
 ip address 172.20.210.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no ip mroute-cache
 hold-queue 100 out
!
interface Ethernet2
 no ip address
 shutdown
 hold-queue 100 out
!
interface ATM0
 no ip address
 no ip mroute-cache
 atm vc-per-vp 64
 no atm ilmi-keepalive
 dsl operating-mode auto
 pvc 8/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface FastEthernet1
 duplex auto
 speed auto
!
interface FastEthernet2
 duplex auto
 speed auto
!
interface FastEthernet3
 duplex auto
 speed auto
!
interface FastEthernet4
 duplex auto
 speed auto
!
interface Dialer1
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname 
 ppp chap password 
 ppp pap sent-username 
 ppp ipcp dns request
 ppp ipcp wins request
 hold-queue 224 in
!
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http max-connections 4
ip http timeout-policy idle 600 life 86400 requests 10000
!
ip nat inside source list 50 interface Dialer1 overload
!
access-list 50 permit 172.20.210.0 0.0.0.255
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
 exec-timeout 120 0
 login local
 no modem enable
 stopbits 1
line aux 0
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 login local
 length 0
!
scheduler max-task-time 5000
end

Ora se in questa voglio definire un PAT in modo che tutte le chiamate tcp sulla porta 5900 della Dialer1 vengano dirottate verso l'ip interno 172.20.210.2 e medesima porta, imposto:

Codice: Seleziona tutto

access-list 111 permit tcp any any eq 5900
access-list 111 deny any any

ip nat inside source static tcp 172.20.210.2 5900 interface Dialer1 5900 

interface Dialer1
ip access-group 111 in

qualcuno puo spiegarmi perche con queste nuove impostazioni non funziona neppure la semplice navigazione verso l'esterno ?

RJ45 · mar 26 giu , 2007 6:09 am

Ciao,
con questa ACL:

Codice: Seleziona tutto

access-list 111 permit tcp any any eq 5900
access-list 111 deny any any

tu consenti al traffico tcp 5900 di accedere, ma non a tutto il resto, compreso il traffico web in arrivo dalle tue richieste.
Togli l'access-list!

Maxwell · mar 26 giu , 2007 8:37 am

RJ45 ha scritto:Togli l'access-list!

Quindi, tolgo l'access-list 111, e lascio l'access-group nell'interfaccia o per coerenza tolgo anche questa non standoci piu l'access list a cui fa riferimento ? Lasciando solo il nat statico funziona la navigazione verso l'esterno ma non arriva la comunicazione verso l'interno.

active · mar 26 giu , 2007 12:40 pm

Il problema è che con l'acl fatta da te 111, non riusciresti più a navigare, avendo permesso in entrata solo il traffico tcp verso la porta 5900 (e non ad esempio il traffico udp dns). Quindi le soluzioni sono due:
1) non metti acl e lasci solo il nat
2) lasci il nat, metti le acl ma devi impostare correttamente tutto il traffico che ti potrebbe arrivare (established, dns, icmp se richiesto...)

Wizard · mar 26 giu , 2007 1:25 pm

Configura l'ip inspect su tcp e udp in uscita.

Maxwell · mar 26 giu , 2007 3:39 pm

Grazie, problema risolto con la sola nat.

Chiedo comunque di chiarirmi un dubbio. Inizialmente cercavo di ottenere la funzionalita' con la sola nat static:

Codice: Seleziona tutto

ip nat inside source static tcp 172.20.210.2 5900 88.xx.xx.xx 5900 extendable

senza riuscire a far arrivare le chiamate dall'esterno. Che differenza c'e' con quella che invece specifica interface Dialer1 alla quale e' associato lo stesso ip 88.xx.xx.xx ?

active ha scritto: 2) lasci il nat, metti le acl ma devi impostare correttamente tutto il traffico che ti potrebbe arrivare (established, dns, icmp se richiesto...)

ah ecco, quindi posso specificare acl anche solo per le estabilished, cioe per le connessioni stabilite da traffico in uscita, che includerebbe tutte le possibili porte ?

Wizard · mar 26 giu , 2007 3:48 pm

ah ecco, quindi posso specificare acl anche solo per le estabilished, cioe per le connessioni stabilite da traffico in uscita, che includerebbe tutte le possibili porte ?

Si ma si faceva così anni or sono...io ti consiglio di configurare l'ip inspect così almeno hai il firewall...

Cisco 837 - Port forwarding

Login • Iscriviti