Trasferimento NAT da router a Firewall ... come si fa ?

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
alexbromo
n00b
Messaggi: 24
Iscritto il: mer 10 ago , 2005 9:03 am

Ciao a tutti !

Per la pubblicazione di un paio di server aziendali (porte 80, 110, 25) su Internet, fino ad oggi ho utilizzato le funzionalità di NAT statico del nostro router 827:

=============================
! Webserver
ip nat inside source static tcp 192.168.20.10 80 85.32.10.120 80

! Mailserver
ip nat inside source static tcp 192.168.20.11 25 85.32.10.121 25
ip nat inside source static tcp 192.168.20.11 110 85.32.10.121 110

ecc ...
=============================

gli IP che ho a disposizione sono 6 (ADSL Interbusiness).

Da poco tempo abbiamo acquistato un firwall commerciale (Kerio Winroute 6) e vorrei trasferire tutte le procedure di natting dal router al firewall.

In pratica vorrei programmare il NAT del mio Cisco845 affinchè giri semplicemente tutti i pacchetti dei suoi IP pubblici sulla Ethernet, così da ritrovarli sulla porta RED del firewall e poterli instradare, in base all'indirizzo, sulle varie interfacce dei server connessi in DMZ.

Quali comandi mi conviene utilizzare sul router ?

Suppongo che dovrei associare alla Ethernet0, oltre che all'indirizzo IP privato, anche quelli pubblici, vero ?

Acc... non so da che parte rifarmi ! :oops:

Alex Bromo.

... sono proprio contento di avervi trovato !!! :wink:
Top
ciscomaster
Cisco fan
Messaggi: 27
Iscritto il: gio 10 feb , 2005 9:27 pm
Località: catania

Ciao Alex,

devi semplicemente disabilitare ogni forma di nat sul router,dare un indirizzo pubblico sulla ethernet del router e un altro sul firewall che hai comprato.

per il resto devi configurare il firewall.

ciao
Top
alexbromo
n00b
Messaggi: 24
Iscritto il: mer 10 ago , 2005 9:03 am

Ok, devo togliere il NAT perchè lo fa già il firewall.

Telecom mi ha dato i soliti otto IP dei quali posso utilizzarne sei, adesso li uso così:

2° IP di 8 -> ATM0.1 (sulla scheda tecnica Telecom lo chiama Default Gateway)
3° IP di 8 -> Libero
4° IP di 8 -> Intranet
5° IP di 8 -> Webserver 1
6° IP di 8 -> Webserver 2
7° IP di 8 -> Mailserver

Questa è la mia configurazione:

=============================
.
.
interface Ethernet0
ip address 192.168.0.1 255.255.255.0
ip nat inside
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
bundle-enable
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address <2°IP di 8> 255.255.255.248
ip nat outside
pvc 8/35
encapsulation aal5snap
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
no ip http server
!
ip nat inside source list 102 interface ATM0.1 overload
ip nat inside source static 192.168.0.12 <4° IP di 8>
ip nat inside source static 192.168.0.13 <5° IP di 8>
ip nat inside source static 192.168.0.14 <6° IP di 8>
ip nat inside source static 192.168.0.15 <7° IP di 8>
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
.
.
=============================


Con la nuova configurazione, se ho capito bene, dovrei:

1) assegnare alla Ethernet0 il <3° IP di 8> (l'unico libero che mi è rimasto) e far diventare il 192.168.0.12 secondary
2) sulla Ethernet0 togliere l' "ip nat outside"
3) sulla ATM0.1 togliere l' "ip nat outside"
4) cancellare tutti i nat statici
5) associare alla wan del firewall gli IP pubblici (dal 4° al 7°)
6) gestire il NAT sui server in DMZ direttamente dal firewall

giusto ?

Però mi sa che devo anche aggiungere un routing tra la ATM0.1 e la Ethernet, no ?
E forse anche una nuova ACL.

Alex Bromo
Top
ciscomaster
Cisco fan
Messaggi: 27
Iscritto il: gio 10 feb , 2005 9:27 pm
Località: catania

Mi sa che ti sei un po confuso!!
allora devi mettere l'indirizzo pubblico sulla ethernet 0 senza secondary.
disabilitare tutte le nat perchè abbiamo detto che la nat la deve fare il firewall
giusto?


quindi:
un ip sull'Atm 0,
un ip sull'ethernet 0
e con questo puoi navigare,poi metti un ip sul firewall lato wan,e un ip privato lato lan!
con questo gestisci tutte le nat che vuoi


ciao
Top
alexbromo
n00b
Messaggi: 24
Iscritto il: mer 10 ago , 2005 9:03 am

ciscomaster ha scritto:Mi sa che ti sei un po confuso!!
allora devi mettere l'indirizzo pubblico sulla ethernet 0 senza secondary.
disabilitare tutte le nat perchè abbiamo detto che la nat la deve fare il firewall
giusto?


quindi:
un ip sull'Atm 0,
un ip sull'ethernet 0
e con questo puoi navigare,poi metti un ip sul firewall lato wan,e un ip privato lato lan!
con questo gestisci tutte le nat che vuoi


ciao
Ho provato a togliere l'IP privato e ad assegnare uno dei miei IP pubblici (85.xx.xxx.74) alla Ethernet0, ma non me lo accetta ! Il router Mi da il seguente messaggio: "ip address 85.xx.xxx.74 255.255.255.248
85.xx.xxx.72 overlaps with ATM0.1"

D'altronde non posso togliere l'IP dalla ATM0.1 perchè sennò non navigo più. :cry:

Il fatto di mantenere sulla Ethernet0 anche l'IP privato, era per poter programmare il router via telnet dalla LAN, senza dover ricorrere alla console seriale.

Alex Bromo.
Top
alexbromo
n00b
Messaggi: 24
Iscritto il: mer 10 ago , 2005 9:03 am

Mhhhh ... mi sa che ci sono: sto testando una configurazione con ip unnumbered.

Vi fò sapè ! :wink:

Alex Bromo
Top
Avatar utente
mgcomp
Cisco fan
Messaggi: 59
Iscritto il: sab 13 ago , 2005 4:56 pm
Località: Verona
Contatta:
Contatta mgcomp

SI SI SI :)

Basta che sulla ethernet metti:

ip unnumbered atm0.1

Ciao!!!!!
Top
Rispondi

Torna a “Configurazioni”