Configurazione Server Web

[danielemrx]

Nel centro in cui opero ho messo in piedi un server linux sul quale realizzare alcune applicazioni intranet e il sito internet.
La connettività è gestita attraverso un collegamento business 20mega con 5 indirizzi pubblici.
Il router è un cisco 877.
Il mio problema è che anche avendo assegnato un indirizzo IP pubblico anche al server, questo non è raggiungibile dall'esterno, mentre lo è dall'interno grazie ad una seconda scheda di rete configurata per l'intranet.
Ho provato ad impostare qualche ACL ma senza risultato.

Allego la configurazione.

!
version 12.4
no service pad
service timestamps debug uptime
service timestamps log datetime
service password-encryption
service sequence-numbers
!
hostname XXXXXXXXXXXXXXXXXXXXX
!
boot-start-marker
boot system flash c870-advipservicesk9-mz.124-22.T.bin
boot-end-marker
!
logging message-counter syslog
logging buffered 4096
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
!
no aaa new-model
clock timezone CET 1
clock summer-time CET recurring last Sun Mar 2:00 last Sun Oct 3:00
!
dot11 syslog
no ip subnet-zero
ip source-route
!
ip cef
ip name-server 151.99.125.2
ip name-server 151.99.125.3
no ipv6 cef
!
multilink bundle-name authenticated
!
archive
log config
hidekeys
!
interface ATM0
mtu 1500
no ip address
no atm ilmi-keepalive
dsl operating-mode adsl2+
!
interface ATM0.1 point-to-point
ip address XXX.XXX.XXX.XXX 255.255.255.252
ip nat outside
ip virtual-reassembly
pvc 8/35
encapsulation aal5snap
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
ip address 192.168.1.254 255.255.255.0 secondary
ip address XXX.XXX.XXX.XXX 255.255.255.248
ip nat inside
ip virtual-reassembly
hold-queue 100 out
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip http server
no ip http secure-server
!
!
ip nat pool net-ibs XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX netmask 255.255.255.248
ip nat inside source list 101 pool net-ibs overload
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
!
end


Ringrazio anticipatamente chi vorrà aiutarmi...

[Wizard]

Il server ha up ip pubblico?!

[danielemrx]

Si, perchè è un errore?

[francesco_savona]

Cero, devi solo pubblicare in DMZ quello che ti serve.

Quindi utilizzi il PAT:

ip nat in sou sta tcp/udp ip_privato_server porta_privata ip_pubblico_associato porta pubblica

e poi gestisci le acl solo sulla porta a livello tcp

[danielemrx]

Non ho capito bene se configurare o meno la porta ethernet del server con indirizzo pubblico.

[Wizard]

Va bene o no sarai tu a decidere, di sucuro a livello di sicurezza fa pena!
Io ti consiglio di:

1) alla eth dai solo l'ip interno
2) crei delle regole di nat per i server
3) crei delle acl in ingresso solo x le porte che vuoi pubblicare
4) crei le regole di pat x fare uscire il resto verso internet

[francesco_savona]

Esempio:

Server IP: 192.168.0.253
Servizio Web: Porta TCP 80

ip nat in sou sta tcp 192.168.0.253 80 ip_pubblico_da_assegnare 80

Cosi:
a) sul server non assegni un bel niente
b) pubblichi in dmz solo il servizio che effettivamente è pubblico

Poi ti configuri una acl e timeout per la connessione di terzi verso il tuo server.