NAT solo per alcuni dest addr

[whites07]

Ciao a tutti,
vorrei fare in modo che un'interfaccia di un router faccia NAT solo se il destination address non appartiene a una certa sottorete IP.

Mi spiego meglio, devo "tamponare" una situazione di emergenza in un LAB devo mettere su una nuova sottorete 192.168.100.0/24 da interconnettere con la rete aziendale x.y.z.0/24 (non posso toccare il router che interconnette x.y.z.0/24 con il resto del mondo) e vorrei che il nuovo router che interconnette 192.168.100.0/24 e x.y.z.0/24 faccia NAT per tutti i pacchetti IP tranne per quelli destinati a host che stanno in x.y.z.0/24 perché questi conosco come raggiungere 192.168.100.0/24

Come posso fare?

Con pfSense si fa, mi rifiuto di credere che un router cisco non possa fare una cosa del genere.

[hashashin]

mmm...


io nn c'ho capito molto.

- domanda:

chi è che deve andare dove e come deve essere nattato??

cmq così su due piedi ti direi di creare una access-list che nega il traffico che non deve essere nattato e permettere tutto il resto, applicare suddetta acl sulla interfaccia il gioco è fatto.

aspetto qualche info in più per darti una risposta più precisa

ciao!

[whites07]

mmm...


io nn c'ho capito molto.

- domanda:

chi è che deve andare dove e come deve essere nattato??

cmq così su due piedi ti direi di creare una access-list che nega il traffico che non deve essere nattato e permettere tutto il resto, applicare suddetta acl sulla interfaccia il gioco è fatto.

aspetto qualche info in più per darti una risposta più precisa

ciao!

diciamo che il router ha 2 interfacce:
1. gigaethernet0 con IP x.y.z.254 /24
2. gigaethernet1 con IP 192.168.100.1/24

Tutto il traffico che va dalla rete 192.168.100.0/24 che entra in gigaethernet1 deve uscire da gigaethernet0 NATTATO tranne il traffico destinato a un apparato che appartiene a x.y.z.0/24

Il router sarà connesso a un altro router che gli permetterà di conoscere tutto il resto del mondo (rete aziendale di altre sedi e internet) l'altro router ha un interfaccia su x.y.z.0/24


Se faccio una acl che blocca il traffico che non deve essere nattato quel traffico viene droppato, ma voglio farlo passare soltanto che NON deve essere nattato.

Banalmente voglio che la gigaethernet0 in uscita prima di decidere se nattare o meno faccia una cosa tipo questa:

if (ip.dest == x.y.z.*)
then no_ip_nat
else apply_ip_nat

[whites07]

Nessuno sa come fare?

[berni_n1]

Ciao!

scua ma non riesco a capire le tue intenzioni, prova ad essere più chiaro....

Cmq per fare :
if (ip.dest == x.y.z.*)
then no_ip_nat
else apply_ip_nat

basta fare :

ip nat inside source list 105 interface NomeInterfaccia overload
..
access-list 105 deny ip ReteSorgente WildCardMask x.y.z.* WildCardMask
access-list 105 permit ip ReteSorgente WildCardMask any

Fammi sapere se qualcosa non ti è chiaro!

Ciao

[whites07]

Ciao!

scua ma non riesco a capire le tue intenzioni, prova ad essere più chiaro....

Le mie intenzioni sono di separa un laboratorio dalla rete aziendale,però devo:
1. permettere a tutti i PC della rete aziendale di accedere alle macchine del laboratorio (non voglio NAT per comodità)
2. permettere agli utenti di altre sedi di accedere (saltuariamente) alle macchine del LAB (mi serve NAT xché non posso propagare sottoreti IP private nella rete aziendale)

Cmq per fare :
if (ip.dest == x.y.z.*)
then no_ip_nat
else apply_ip_nat
...

Ottimo ci provo e vi faccio sapere

Grazie!!!