NAT INSIDE e IP PUBBLICI - Cisco 2851

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
weblaboratory
Cisco fan
Messaggi: 71
Iscritto il: gio 17 dic , 2009 5:27 pm

Buongiorno a tutti quanti

Non riesco a configurare bene un router 2851 che mi deve nattare 4 IP Pubblici di fastweb.

Io vorrei essere libero di nattare determinate porte su server differenti ed ugualmente poter uscire su internet con i server selezionati

Attualmente il router funziona correttamente con la seguente configurazione:

Codice: Seleziona tutto

interface GigabitEthernet0/0
 description lan locale
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 description RETE PUBBLICA
 ip address 5.5.X.X 255.255.255.248
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
!
ip route 0.0.0.0 0.0.0.0 5.5.X.X
BLA BLA BLA
ip nat inside source static 192.168.1.1 IP_PUBBLICO_01  extendable
ip nat inside source static 192.168.1.2 IP_PUBBLICO_02  extendable
ip nat inside source static 192.168.1.3 IP_PUBBLICO_03  extendable
ip nat inside source static 192.168.1.4 IP_PUBBLICO_04  extendable
Io vorrei riuscire a mettere una cosa del genere:

Codice: Seleziona tutto

ip nat inside source static tcp 192.168.1.4 80 IP_PUBBLICO_04 80 extendable
Purtroppo però in questo modo dall'esterno non riesco ad arrivare al server 192.168.1.4 che sta in ascolto sulla porta 80

Come posso riuscire ad ABILITARE solo determinate porte in ingresso, 80,443,53 , bloccare quindi quelle che non voglio e ugualmente far navigare il server su internet tramite il suo indirizzo IP?

Mi sfugge qualcosa....
Top
Gianremo.Smisek
Messianic Network master
Messaggi: 1159
Iscritto il: dom 11 mar , 2007 2:23 pm
Località: Termoli

devi usare il PAT

Codice: Seleziona tutto

access-list 101 permit tcp host 192.168.1.4
ip nat pool SINGLE  IP_PUBBLICO_04  IP_PUBBLICO_04 netmask 255.255.x.x
ip nat inside source list 101 pool SINGLE overload
elimini

Codice: Seleziona tutto

ip nat inside source static 192.168.1.4 IP_PUBBLICO_04  extendable
poi assegni manualmente i nat con le relative porte.


non e' una soluzione "pulitissima" ma dovrebbe funzionare, prova e fammi sapere.

ciao! :D

P.S. se nella definizione del pool SINGLE da un warning, ignoralo...
P.P.S. la soluzione ideale e' fare il nat 1:1 e bloccare le porte che non servono con un firewall...
Top
weblaboratory
Cisco fan
Messaggi: 71
Iscritto il: gio 17 dic , 2009 5:27 pm

Ciao, grazie mille per la risposta
Cosa intendi esattamente per NON PULITISSIMA?
Lo ritieni errato utilizzare il router principale per bloccare le porte che non mi interessano?

eventualmente potrei anche lasciare tutto aperto sui server e bloccare tutte le porte tranne quelle che mi interessano.

Mi va benissimo fare NAT 1:1... non c'è problema
ma vorrei fare NAT solo delle porte che voglio io

Ora vado a provare la configurazione che mi hai dato
Top
weblaboratory
Cisco fan
Messaggi: 71
Iscritto il: gio 17 dic , 2009 5:27 pm

Purtroppo non funziona.
Ora posto esattamente la mia configurazione funzionante:

Codice: Seleziona tutto

interface FastEthernet0/0
 description RETE INTERNA SERVER 172.31.0.0 255.255.255.0
 ip address 172.31.0.100 255.255.255.0
 ip nat inside
 duplex full
 speed 100
 no cdp enable
!
interface FastEthernet0/1
 description RETE PUBBLICA SERVER 172.31.0.0 255.255.255.0
 ip address 192.168.1.10 255.255.255.0
 ip nat outside
 duplex full
 speed 100
 no cdp enable
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
ip nat inside source static 172.31.0.27 192.168.1.2
ip nat inside source static 172.31.0.28 192.168.1.3
ip nat inside source static 172.31.0.29 192.168.1.4
ip nat inside source static 172.31.0.101 192.168.1.5
In questa maniera i server 172.31.0.27, .28, .29 e .101 sono tutti visibili completamente dall'esterno e navigano ed escono

Mentre con la configurazione che mi hai dato:

Codice: Seleziona tutto

ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
no ip http server
ip nat pool SINGLE 192.168.1.5 192.168.1.5 netmask 255.255.255.0
ip nat inside source list 101 pool SINGLE overload
ip nat inside source static 172.31.0.27 192.168.1.2
ip nat inside source static 172.31.0.28 192.168.1.3
ip nat inside source static 172.31.0.29 192.168.1.4
ip nat inside source static tcp 172.31.0.101 80 192.168.1.5 80 extendable
access-list 101 permit tcp host 172.31.0.101 any
help :-)
Top
Gianremo.Smisek
Messianic Network master
Messaggi: 1159
Iscritto il: dom 11 mar , 2007 2:23 pm
Località: Termoli

strano :?

la stessa cfg l'ho usata una volta da me ed ha funzionato. che ios hai?
prova ad aggiungere type rotary nella definizione del nat pool. (alla fine del comando)

se non va', fai in quest'altro modo:

prova a mettere l'IP pubblico in una loopback e cambiare la regola di nat in:

Codice: Seleziona tutto

ip nat inside source list 101 int loopback0 overload
oppure ancora meglio prova a fare nat 1:1 ed aprire da firewall solo le porte che t'interessano..

P.S. usare il nat da loopback non e' una soluzione pulita, infatti cisco ci mette a disposizione lo stumento per fare nat 1:1 ;)
Top
weblaboratory
Cisco fan
Messaggi: 71
Iscritto il: gio 17 dic , 2009 5:27 pm

AHHH purtroppo non funge...
e soprattutto non è una bella soluzione

Domanda: e se associassi ad ogni interfaccia una Access-list?

Non posso gestirmi il traffico entrante ed uscente da li?

Nell'interfaccia pubblica potrei mettere

Codice: Seleziona tutto

ip access-group 105 in
Oppure OUT?

Come vengono visti esattamente ?

Ad esempio per accedere solamente ad un server WEB (80) e che risolva il nome, secondo voi che access list devo creare?

ho provato un pochino ma non ne vengo a capo
Ciao e grazie
Top
Gianremo.Smisek
Messianic Network master
Messaggi: 1159
Iscritto il: dom 11 mar , 2007 2:23 pm
Località: Termoli

aja.. qua' mancano le basi.... dovresti leggerti un po' di doc..

cmq per poter permettere il traffico sulla 80 e bloccare TUTTO il resto, puoi far cosi':

Codice: Seleziona tutto

access-list 105 permit tcp any host x.y.k.z eq 80
associata all'interfaccia wan in direzione "IN"

ciao
Top
weblaboratory
Cisco fan
Messaggi: 71
Iscritto il: gio 17 dic , 2009 5:27 pm

Eh si sicuramente qualche base sulle access list manca...
Ma ho fatto qualche prova e semplicemente con quella access list non navigavo e non ero neanche pubblico .

Lasciando stare problemi di DNS... ho provato direttamente mettendo gli ip pubblici su cui avrebbe dovuto rispondere il mio web server...
avevo messo esattamente quella access list che mi hai indicato ma non va :-(

Teoricamente se non metto un access-group OUT, tutto il traffico in uscita è libero giusto?

Ho solo paura che una volta avvenuta la connessione sulla porta 80, le altre che vanno su porte > 65000 vengono fermate.

Io lavoro molto con IPTABLES e bene o male li riesci a impostare le regole su connessioni già stabilite, nuove, related ecc.
Con le access list come faccio a identificare una connessione già stabilita da una nuova o fittizia?

Ciao e ancora grazie per l'aiuto
Top
Gianremo.Smisek
Messianic Network master
Messaggi: 1159
Iscritto il: dom 11 mar , 2007 2:23 pm
Località: Termoli

su ios c'e' ip inspect per far quel che dici tu..
e se il tuo IOS non lo supporta, c'e' la keyword established..

prova a dare un'occhiata qui':

http://www.areanetworking.it/cisco-827- ... Cil-minimo
Top
weblaboratory
Cisco fan
Messaggi: 71
Iscritto il: gio 17 dic , 2009 5:27 pm

OOOk diciamo che sono riuscito a fare qualcosina...
Ditemi se ho fatto una boiata. Sulla mia interfaccia WAN ho messo due ACL, una per il traffico in entrata ed uno in uscita

Codice: Seleziona tutto

interface FastEthernet0/1
 description RETE PUBBLICA SERVER 172.31.0.0 255.255.255.0
 ip address 192.168.1.10 255.255.255.0
 ip access-group 105 in
 ip access-group 106 out
 ip nat outside
 duplex full
 speed 100
 no cdp enable
!
!
access-list 105 permit tcp any host 192.168.1.5 eq www log
access-list 105 permit udp any host 192.168.1.5 eq domain
access-list 105 permit tcp any any established
access-list 105 permit udp any eq domain host 192.168.1.5
access-list 105 deny   ip any any log
access-list 106 permit tcp host 192.168.1.5 any eq www
access-list 106 permit udp host 192.168.1.5 any eq domain
access-list 106 permit tcp host 192.168.1.5 any eq ftp
access-list 106 permit tcp host 192.168.1.5 any eq ftp-data
access-list 106 permit tcp any any established
access-list 106 deny   ip any any log
In questo esempio vorrei far si che le connessioni sulla 80 in entrata vadano, in uscita il server possa navigare e connettersi via FTP.
Navigazione in e out funziona.
L'FTP no.

Codice: Seleziona tutto

*Jan 19 10:22:57.229: %SEC-6-IPACCESSLOGP: list 105 denied tcp 93.155.237.46(2839) -> 192.168.1.4(135), 1 packet
*Jan 19 10:22:58.553: %SEC-6-IPACCESSLOGP: list 105 denied tcp 213.251.192.26(35187) -> 192.168.1.3(22), 1 packet
*Jan 19 10:23:10.057: %SEC-6-IPACCESSLOGP: list 106 denied tcp 192.168.1.5(1695) -> 81.223.20.37(56960), 1 packet
*Jan 19 10:23:13.061: %SEC-6-IPACCESSLOGP: list 106 denied tcp 192.168.1.5(1697) -> 200.17.202.1(49362), 1 packet
*Jan 19 10:23:31.261: %SEC-6-IPACCESSLOGP: list 106 denied tcp 192.168.1.5(1699) -> 81.223.20.37(54336), 1 packet
*Jan 19 10:23:39.041: %SEC-6-IPACCESSLOGP: list 106 denied tcp 192.168.1.5(1701) -> 81.223.20.37(54354), 1 packet
Guardando il motivo e' perche non mi accetta di apire le connessioni su porte maggiori di 40000 ecc... Come posso aggirare il problemino?

Mettere le ACL cosi' sulla stessa interfaccia e' poi cos' tanto una porcata oppure e' un buon metodo?
E' forse meglio mettere una ACL in entrata sulla WAN , una ACL in entrata sulla LAN e gestirle separatamente?

Ciao e grazie[/code]
Top
Rispondi

Torna a “Configurazioni”