Nat overload su più ip pubblici

[spanogi]

Ciao a tutti,

mi trovo a gestire diverse sottoreti private convergenti su un router cisco 1841 provvisto anche di collegamento a rete pubblica, con un set di 64 indirizzi pubblici.
Attualmente la configurazione del nat è la seguente:

ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source static 10.50.150.146 xx.xx.225.160
ip nat inside source static 10.50.163.66 xx.xx.225.161

La prima riga trasforma tutti i pacchetti coincidenti con le regola della ACL 1 in un pacchetto avente come IP sorgente quello assegnato alla WAN del router (Fastethernet 0/0). Le altre due sono nat 1 a 1 e non interessano al momento direi.

La mia idea è di creare una ACL per ogni cliente, definire una pool con un solo indirizzo pubblico per ogni cliente e un comando "ip nat inside source list..." per ogni cliente. Ad esempio:

!Cliente 1
ip nat pool cliente1 xx.xx.225.162 mask 255.255.255.255
ip nat inside source list 1 pool cliente1 overload
!Cliente2
ip nat pool cliente2 xx.xx.225.163 mask 255.255.255.255
ip nat inside source list 2 pool cliente2 overload

etc...

In questo modo il Cliente1 uscirà con un ip pubblico, il Cliente2 con un altro e così via, mantenendo la tracciabilità e diminuendo il rischio di farsi bannare dai server di posta un Ip pubblico usato da tutti.

Cosa pensate della soluzione proposta? E' corretta?
Grazie per l'aiuto!

[Wizard]

Si è corretto!
Solo una cosa, x le acl del nat usa delle acl estese e non standard

[spanogi]

Ok, grazie Wizard per il conforto tecnico!

[maggiore81]

Ciao
potresti postare la conf che vorrei chiarirmi una cosa?

Io ho letto con interesse il tuo post, ma mi sono rimasti alcuni dubbi sul NAT:

Dunque:

ho un dubbio mostruoso.

Fin da adesso ho sempre incontrato queste connettività statiche RFC1483
adsl:

Tipologia 1)

1 ip statico:

ip statico assegnatomi: atm0/0.1
Ip privato lato lan 192.168.0.254/24 sulla eth0 per esempio.

Facevo un nat overload e uscivo su internet dall'ip della punto punto, tutto
ok.

Tipologia 2)

ip statico assegnatomi: atm0/0.1
ip privato lato lan 192.168.0.254/24 sulla eth0 per esempio
pool /29 assegnato alla eth1 su cui mettevo direttamente i server.
Facevo un nat overload e uscivo su internet dall'ip della punto punto, tutto
ok.


Tipologia 2 BIS) adsl telecom
ip della punto punto sulla atm0/0.1
ip privato lato lan 192.168.0.254/24 sulla eth0 per esempio
metto il primo ip del pool /29 sempre come secondary sulla eth0
faccio un nat pool, inserendo solo l'ip del default gw (il primo ip della
/29) ed esco in internet dall'ip del gw della subnet /29.

------------------

Ora io mi chiedo:
ho visto sempre nelle config di molti, che mettono gli ip della subnet /29
sulla loopback, quindi:

considerando la connettività di tipologia B, dove ho anche una subnet /29:

atm0/0.1 ip statico assegnatomi
eth0 192.168.0.254/24
loopback0 1.1.1.1/29 (primo ip utile della subnet)


Io ora come mi comporto se volessi fare questa cosa?

Router: ATM0/0.1 ip pubblico
LOOPBACK0 primo ip della subnet /29 (esempio 1.1.1.1/29)
ETH0 172.16.0.0/24 "diciamo DMZ"

io metto i miei server che devo esporre fuori sulla rete 172.16.0.0,
esempio:

Mail server: 172.16.0.1 - forwardo dal router solo le porte 25/110
SERVER PROVA: voglio fare un nat statico del mio ip pubblico, esempio
1.1.1.3 -> su 172.16.0.3

ora come configuro i relativi NAT ed eventuali pool / nat overload???

[berni_n1]

Ciao,

io farei prima il port forwarding:

ip nat inside source static tcp 172.36.0.1 25 ip pubblico 25 extendable
ip nat inside source static tcp 172.36.0.1 110 ip pubblico 110 extendable


poi in nat 1:1

ip nat inside source static 172.36.0.2 1.1.1.3 extendable

e per la navigazione:

ip nat inside source list 1 int loopback0 overload

e nella acl1 escludi l'ip privato del nat 1:1.

Se vuoi utilizzare più ip pubblici per la navigazione ti fai un pool...

Ciao!!!