salve a tutti!
vi chiedo come al solito dei chiarimennti.....mi sto studiando le nat, tuttavia ho dei dubbi....Dunque il mio problema è semplice: ho un server con IIS, ora, per poter raggiungere tale server (non è l'unico pc in rete ovviamente) da fuori devo impostare sull'interfaccia esterna del router una nat outside? a quanto ho capito tale nat converte gli indirizzi outside global in indirizzi compatibili con la mia rete interna (impostato tramite le address pool) giusto?se sbaglio qualcuno di voi può dirmi dove?
Secondo: la mia conf attuale è la seguente:
!
configure terminal
no service single-slot-reload-enable
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname caronte
!
logging rate-limit console 10 except errors
enable secret 5
!
ip subnet-zero
no ip finger
!
no ip dhcp-client network-discovery
!
!configurazione interfaccia ethernet 0
!
interface Ethernet0
ip address 10.0.0.2 255.0.0.0
ip access-group 1 in
ip nat inside
exit
!
interface ATM0
no ip address
load-interval 30
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
exit
!
dsl operating-mode auto
hold-queue 224 in
exit
!
!configurazione dialer 0
!
interface Dialer0
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp chap hostname davide
ppp chap password 7
ppp pap sent-username davide password 7
exit
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
!
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source list 102 interface Dialer0 overload
access-list 1 permit 10.0.0.0 0.0.0.255
dialer-list 1 protocol ip permit
!
line con 0
transport input none
stopbits 1
exit
!
line vty 0 4
password 7
login
exit
!
!
scheduler max-task-time 5000
end
!
!ACCESS LIST
!
configure terminal
!
!connessioni in entrata
!
access-list 101 permit tcp any host 10.0.0.10 eq 4662
access-list 101 permit udp any host 10.0.0.10 eq 4672
access-list 101 permit tcp any host 10.0.0.10 eq 4711
access-list 101 deny ip any any
!
!connessioni in uscita
!
access-list 102 permit tcp host 10.0.0.10 any eq 4662
access-list 102 permit udp host 10.0.0.10 any eq 4672
access-list 102 permit tcp host 10.0.0.10 any eq 4661
access-list 102 permit udp host 10.0.0.10 any eq 4665
!
end
con queste ACL apro solo le porte da me indicate giusto ??? allora perche mi funziona anche internet posta elettronica ecc??? le acl semplici come la 1 che porte aprono????o meglio cosa lasciano passare??? eseguono un semplice filtro su ip address ??? se si perche le porte di emule mi risultavano chiuse se non utilizzavo le altre access list come la 101 e la 102? (anche se con questa configurazione la porta 4672 mi risulta essere ancora chiusa e non so perche.....)
terzo: perche dando questi comandi
ip nat inside source static udp 10.0.0.2 4672 interface Dialer0 4672
ip nat inside source static tcp 10.0.0.2 4662 interface Dialer0 4662
le porte in questione risultavano comunque chiuse? il nat non dovrebbe consentirmi anche il traffico in entrata? (ecco se mi spiegate anche un pò come posso regolare il traffico in entrata non sarebbe male.....) scusate ma ho un pò di confusione in testa......non voglio che mi spieghiate tutto ma solo che mi aiutiate a trovare il bandolo della matassa (anche se sarà ardua)
un grazie anticipato e un complimentone a tutte le persone fantastiche che popolano questo forum
chiarimenti nat + dns dinamico
Moderatore: Federico.Lagni
-
davide.p
- Cisco power user
- Messaggi: 95
- Iscritto il: dom 17 lug , 2005 12:26 pm
- Contatta:
un sistemista è un pò come mc gaiver.......
deve saper tirar fuori un prospetto tridimensionale da un file di testo!
deve saper tirar fuori un prospetto tridimensionale da un file di testo!
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Allora. C'è un po' di confusione.
Nelle istruzioni di NAT, la parola chiave overload abilita il natting triggering o nat dinamico.
Ciò vuol dire che, se poni un'istruzione di NAT con OVERLOAD, il suo significato sarà: NATTA CORRETTAMENTE DALL'ESTERNO ALL'INTERNO TUTTO QUELLO CHE E' STATO RICHIESTO DALL'INTERNO.
Guardiamo ciò che hai scritto:
Poi, le liste utilizzate nelle istruzioni di NAT dinamico non dovrebbero essere utilizzate per filtrare, ammeno che non sia imposto dal design della rete. Il filtraggio avviene tramite le ip access-group.
Poi:
Riassunto (specifico al caso, l'argomento è più complesso di così!):
NAT dinamico: "l'ingresso viene triggerato". L'istruzione va descritta utilizzando una access-list che descriva tutte le macchine per cui questo deve accadere, tipicamente dei client. L'istruzione si conclude con il comando overload
NAT statico: l'ingresso viene gestito staticamente. L'istruziona va descritta utilizzando l'ip interno+porta da raggiungere e (in questo caso) l'interfaccia esterna+porta.
Facciamo così, spiegami esattamente (sono un po' lento
) quali servizi ti servono all'interno della rete e ti faccio "una proposta", poi confrontiamo, ok?
Nelle istruzioni di NAT, la parola chiave overload abilita il natting triggering o nat dinamico.
Ciò vuol dire che, se poni un'istruzione di NAT con OVERLOAD, il suo significato sarà: NATTA CORRETTAMENTE DALL'ESTERNO ALL'INTERNO TUTTO QUELLO CHE E' STATO RICHIESTO DALL'INTERNO.
Guardiamo ciò che hai scritto:
Prima di tutto, dov'è l'access list 1 a cui fai riferimento?ip nat inside source list 1 interface Dialer0 overload
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source list 102 interface Dialer0 overload
[...]
access-list 101 permit tcp any host 10.0.0.10 eq 4662
access-list 101 permit udp any host 10.0.0.10 eq 4672
access-list 101 permit tcp any host 10.0.0.10 eq 4711
access-list 101 deny ip any any
access-list 102 permit tcp host 10.0.0.10 any eq 4662
access-list 102 permit udp host 10.0.0.10 any eq 4672
access-list 102 permit tcp host 10.0.0.10 any eq 4661
access-list 102 permit udp host 10.0.0.10 any eq 4665
Poi, le liste utilizzate nelle istruzioni di NAT dinamico non dovrebbero essere utilizzate per filtrare, ammeno che non sia imposto dal design della rete. Il filtraggio avviene tramite le ip access-group.
Poi:
infatti sono sbagliate! Nel primo campo (tcp <ip> <porta>) non devi impostare l'interfaccia interna, ma l'ip della macchina che deve essere raggiunta.ip nat inside source static udp 10.0.0.2 4672 interface Dialer0 4672
ip nat inside source static tcp 10.0.0.2 4662 interface Dialer0 4662
Riassunto (specifico al caso, l'argomento è più complesso di così!):
NAT dinamico: "l'ingresso viene triggerato". L'istruzione va descritta utilizzando una access-list che descriva tutte le macchine per cui questo deve accadere, tipicamente dei client. L'istruzione si conclude con il comando overload
NAT statico: l'ingresso viene gestito staticamente. L'istruziona va descritta utilizzando l'ip interno+porta da raggiungere e (in questo caso) l'interfaccia esterna+porta.
Facciamo così, spiegami esattamente (sono un po' lento
) quali servizi ti servono all'interno della rete e ti faccio "una proposta", poi confrontiamo, ok?-
davide.p
- Cisco power user
- Messaggi: 95
- Iscritto il: dom 17 lug , 2005 12:26 pm
- Contatta:
grazie mille theirish, allora, ti invio lo schema dellamia rete, quelli in roosso sono i nomi degli host. Caronte è un soho77. La mia esigenza è questa: rendere accessibile vedasrv2k3 dai protocolli smtp e pop3, da web e dalle porte 1000 e 3000 piu anche da ultr@VNC (poi ho anche il dns dinamico ma non so se servono particolari porte aperte) in più le access list 101 e 102 sono rispettivamente le connessioni in entrata e quelle in uscita che mi servono per emule ma SOLO al pc veda1 è consentito l'uso di emule
la regola dey ip any any penso sia superflua vero?
Comunque, ti sono grato dell'aiuto che mi dai e lo accetto ben volentieri ma desidero piu di ogni altra cosa capire a fondo l'argomento....sto studiando molto per la ccna ma sono ancora alle prime armi e faccio un pò fatica con alcuni concetti, se mi potessi dare una mano (solo dei chiarimenti non voglio lezioni
) tee ne sarei molto grato!
Io dell'overload ho capito questo: vengono create delle corrispondenze univoche tra un indirizzo inside local ed uno inside global+porta in questo modo piu indirizzi inside local possono usare un solo indirizzo inside global perche il flusso dati viene shiftato su porte diverse (una per ogni inside local che ha bisoogno di un inside global) le risposte dall'host esterno vengono fatte sulla porta da cui proviene la richiesta, il router tramite la mappature del NAT riesce a capire a quale inside local reinoltrare i pacchetti ricevuti su quella porta. ho capito bene?
la regola dey ip any any penso sia superflua vero?
Comunque, ti sono grato dell'aiuto che mi dai e lo accetto ben volentieri ma desidero piu di ogni altra cosa capire a fondo l'argomento....sto studiando molto per la ccna ma sono ancora alle prime armi e faccio un pò fatica con alcuni concetti, se mi potessi dare una mano (solo dei chiarimenti non voglio lezioni
) tee ne sarei molto grato!Io dell'overload ho capito questo: vengono create delle corrispondenze univoche tra un indirizzo inside local ed uno inside global+porta in questo modo piu indirizzi inside local possono usare un solo indirizzo inside global perche il flusso dati viene shiftato su porte diverse (una per ogni inside local che ha bisoogno di un inside global) le risposte dall'host esterno vengono fatte sulla porta da cui proviene la richiesta, il router tramite la mappature del NAT riesce a capire a quale inside local reinoltrare i pacchetti ricevuti su quella porta. ho capito bene?
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
un sistemista è un pò come mc gaiver.......
deve saper tirar fuori un prospetto tridimensionale da un file di testo!
deve saper tirar fuori un prospetto tridimensionale da un file di testo!
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Ok, vediamo bene il da farsi.
Partiamo da un piccolo preambolo: il protocollo eDonkey è decisamente bastardo ed è difficile impedire completamente il suo funzionamento.
Prenderò per assunto che VEDASRV2K3 abbia l'esigenza di contattare servizi esterni come gli altri client. E' una brutta abitudine, ma normalmente mi cazziano per imbottigliare sempre tutto.
Per prima cosa, permettiamo all'intera subnet 10.0.0.0 255.0.0.0 di ricevere dall'internet, i dati che hanno richiesto. Questo lo otteniamo creando un'istruzione di nat dinamico:
Come seconda cosa, facciamo si che VEDASRV2K3 sia accessibile dall'esterno per i protocolli previsti e permettiamo il mulo a veda2
E con questo abbiamo fornito la connettività base.
La questione mulo è più spinosa. Avendo NAT statiche solo per la macchina 10.0.0.10, gli altri pc dovrebbero avere grossi problemi a ottenere risultati dal mulo. Non conosco bene il protocollo, ma a quel che so sembra funzionare ugualmente. Ora, visto che sia server che client possono scegliere quali porte usare per la connessione, diventa impossibile discriminare con precisione, di modo da impedire completamente il funzionamento del mulo.
L'alternativa, comunque non difinitiva, potrebbe essere NON discriminare quali protocolli negare, ma quali permettere in uscita.
Esempio, se veda2 userà esclusivamente http, pop3 e smtp, possiamo dire al router di permettere a veda2 di uscire solo verso queste porte. Qui devi vedere tu cosa sembra più ragionevole. facci sapere
Partiamo da un piccolo preambolo: il protocollo eDonkey è decisamente bastardo ed è difficile impedire completamente il suo funzionamento.
Prenderò per assunto che VEDASRV2K3 abbia l'esigenza di contattare servizi esterni come gli altri client. E' una brutta abitudine, ma normalmente mi cazziano per imbottigliare sempre tutto.
Per prima cosa, permettiamo all'intera subnet 10.0.0.0 255.0.0.0 di ricevere dall'internet, i dati che hanno richiesto. Questo lo otteniamo creando un'istruzione di nat dinamico:
Codice: Seleziona tutto
ip nat inside source list 1 interface Dialer0 overload
access-list permit 10.0.0.0 0.255.255.255Codice: Seleziona tutto
ip nat inside source static tcp 10.0.0.0.1 80 interface dialer0 80
ip nat inside source static tcp 10.0.0.1 21 interface dialer0 21
ecc ecc.
ip nat inside source static tcp 10.0.0.10 4662 interface dialer0 4662
ip nat inside source static tcp 10.0.0.10 4672 interface dialer0 4672
La questione mulo è più spinosa. Avendo NAT statiche solo per la macchina 10.0.0.10, gli altri pc dovrebbero avere grossi problemi a ottenere risultati dal mulo. Non conosco bene il protocollo, ma a quel che so sembra funzionare ugualmente. Ora, visto che sia server che client possono scegliere quali porte usare per la connessione, diventa impossibile discriminare con precisione, di modo da impedire completamente il funzionamento del mulo.
L'alternativa, comunque non difinitiva, potrebbe essere NON discriminare quali protocolli negare, ma quali permettere in uscita.
Esempio, se veda2 userà esclusivamente http, pop3 e smtp, possiamo dire al router di permettere a veda2 di uscire solo verso queste porte. Qui devi vedere tu cosa sembra più ragionevole. facci sapere
-
davide.p
- Cisco power user
- Messaggi: 95
- Iscritto il: dom 17 lug , 2005 12:26 pm
- Contatta:
grazie irish, dunque qui non capisco io una cosa sulle istruzioni nat.....con l'istruzione ip nat inside source static tcp 10........ interface dialer 0 .... io sto dicendo al router di tradurre gli indirizzi ip 10.0.0.1 diretti verso dialer 0 e sulla porta 80 in un indirizzo inside global giusto? bene questa regola vale anche per l'esterno? ossia se qualcuno va verso ilmio router con la porta 80 viene mandato su 10.0.0.1? se si allora che cavolo fa ip nat outside come comando? e se no come è possibile che venga effettuata questa corrispondenza tra 10.0.0.1 sulla 80 in entrata e il mio ip di internet?
un sistemista è un pò come mc gaiver.......
deve saper tirar fuori un prospetto tridimensionale da un file di testo!
deve saper tirar fuori un prospetto tridimensionale da un file di testo!
