Salve a tutti
La mia configurazione è questa...
soho77-->firewall-->rete
il problema è che devo indirizzare tutte le porte verso l'ip del firewall e da li decidere quali aprire/chiudere. qualcuno conosce il comando per fare questa operazione??
Grazie mille a quanti riescano a darmi un aiuto
soho 77 e firewall ipcop
Moderatore: Federico.Lagni
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
NOTA: se hai un solo ip pubblico, non puoi evitare che sia il router a fare il nat.
Ergo, dovranno esserci due subnet private, una tra il router e il firewall, e un'altra per la LAN.
Ora, non ti rimane che informare il router su qual è la rotta per raggiungere la LAN ed informare il firewall su qual è la rotta per internet.
Googla cisco ip route e dovresti trovare risposta.
In caso di dubbi, siamo qui
Ergo, dovranno esserci due subnet private, una tra il router e il firewall, e un'altra per la LAN.
Ora, non ti rimane che informare il router su qual è la rotta per raggiungere la LAN ed informare il firewall su qual è la rotta per internet.
Googla cisco ip route e dovresti trovare risposta.
In caso di dubbi, siamo qui
-
DeM0lition
- n00b
- Messaggi: 3
- Iscritto il: ven 25 nov , 2005 2:35 pm
Il firewall ha 2 schede di rete ognuna con una subnet e ip diversi e il router un solo ip pubblico dinamico a me interessava soltanto la parte di configurazione da inserire nel router per fare in modo che tutto il traffico che arriva dall'esterno lo mandi all'ip dell'interfaccia esterna del firewall
(ip pubblico)router(ip eth)--->(ip ext firewall)firewall(ip int firewall)--->> mia lan
praticamnete il router non deve fare altro che reindirizzare tutto il traffico verso un preciso ip
sul forum ho trovato solo come fare port forwarding di specifiche porte.. a basterebbe mandare tutte le porte verso un ip
Grazie ancora per il vostro aiuto
(ip pubblico)router(ip eth)--->(ip ext firewall)firewall(ip int firewall)--->> mia lan
praticamnete il router non deve fare altro che reindirizzare tutto il traffico verso un preciso ip
sul forum ho trovato solo come fare port forwarding di specifiche porte.. a basterebbe mandare tutte le porte verso un ip
Grazie ancora per il vostro aiuto
-
andrewp
- Messianic Network master
- Messaggi: 2199
- Iscritto il: lun 13 giu , 2005 7:32 pm
- Località: Roma
Ecco a te:DeM0lition ha scritto:(ip pubblico)router(ip eth)--->(ip ext firewall)firewall(ip int firewall)--->> mia lan
praticamnete il router non deve fare altro che reindirizzare tutto il traffico verso un preciso ip
TheIrish ha scritto: Googla cisco ip route e dovresti trovare risposta.
In caso di dubbi, siamo qui
Manipolatore di bit.
-
DeM0lition
- n00b
- Messaggi: 3
- Iscritto il: ven 25 nov , 2005 2:35 pm
Ho provato a cercare su google ma trovo tutta roba in inglese e non riesco a capire se sia veramente quello che fa a caso mio..
potrei pensare che sia una cosa tipo
ip nat inside source static 10.0.0.2 interface dialer0
dove 10.0.0.2 è l'ip del firewall
dite che cosi possa andare?
potrei pensare che sia una cosa tipo
ip nat inside source static 10.0.0.2 interface dialer0
dove 10.0.0.2 è l'ip del firewall
dite che cosi possa andare?
-
mip
- Cisco enlightened user
- Messaggi: 149
- Iscritto il: mer 23 nov , 2005 5:10 pm
- Località: Rovigo
Ciao, io ho l'803 e stò "combattendo" con lui proprio per la stessa identica cosa che devi fare tu.
La regola
ip nat inside source static 10.0.0.2 interface dialer0
dovrebbe funzionare correttamente (se ti permette di inserirla senza darti errori, a me li dà...sobh!). Infatti, se , esempio, il tuo ip pubblico fosse 123.123.123.456, una regola del tipo:
ip nat inside source static 10.0.0.2 123.123.123.456
funziona proprio per quello che devi fare tu (almeno sul mio và alla grande), ma và bene solo se il tuo ip pubblico è statico. Se invece è dinamico, per evitare di cambiare l'ip a mano ogni volta che l'ip cambia, ripeto che la regola
ip nat inside source static 10.0.0.2 interface dialer0
dovrebbe andare più che bene, sempre che 10.0.0.2 sia l'ip ext del tuo firewall (come hai indicato nel tuo diagramma).
La cosa migliore in questi casi, se hai un buon firewall, secondo me potrebbe essere un bridging. Così facendo, sull'interfaccia ext del tuo firewall verrebbe assegnato direttamente l'ip pubblico e il router ti sarebbe trasparente (devi però attivare il NAT sul tuo firewall, cosa di cui non c'è bisogno invece se lasci il Cisco come router).
Saluti
La regola
ip nat inside source static 10.0.0.2 interface dialer0
dovrebbe funzionare correttamente (se ti permette di inserirla senza darti errori, a me li dà...sobh!). Infatti, se , esempio, il tuo ip pubblico fosse 123.123.123.456, una regola del tipo:
ip nat inside source static 10.0.0.2 123.123.123.456
funziona proprio per quello che devi fare tu (almeno sul mio và alla grande), ma và bene solo se il tuo ip pubblico è statico. Se invece è dinamico, per evitare di cambiare l'ip a mano ogni volta che l'ip cambia, ripeto che la regola
ip nat inside source static 10.0.0.2 interface dialer0
dovrebbe andare più che bene, sempre che 10.0.0.2 sia l'ip ext del tuo firewall (come hai indicato nel tuo diagramma).
La cosa migliore in questi casi, se hai un buon firewall, secondo me potrebbe essere un bridging. Così facendo, sull'interfaccia ext del tuo firewall verrebbe assegnato direttamente l'ip pubblico e il router ti sarebbe trasparente (devi però attivare il NAT sul tuo firewall, cosa di cui non c'è bisogno invece se lasci il Cisco come router).
Saluti
-
andrewp
- Messianic Network master
- Messaggi: 2199
- Iscritto il: lun 13 giu , 2005 7:32 pm
- Località: Roma
Il NAT verso l'interno è superfluo.
Ecco la situazione:
IP Dyn -|RTR|- 10.10.10.1 ------- 10.10.10.2 -|FW|- 192.168.0.0/24
Nel router devi inserire la seguente rotta statica:
ip route 192.168.0.0 255.255.255.0 10.10.10.2
Il firewall invece deve avere come default gateway il 10.10.10.1
Naturalmente il RTR dovrà fare NAT verso l' ESTERNO.
Ciao.
Ecco la situazione:
IP Dyn -|RTR|- 10.10.10.1 ------- 10.10.10.2 -|FW|- 192.168.0.0/24
Nel router devi inserire la seguente rotta statica:
ip route 192.168.0.0 255.255.255.0 10.10.10.2
Il firewall invece deve avere come default gateway il 10.10.10.1
Naturalmente il RTR dovrà fare NAT verso l' ESTERNO.
Ciao.
Manipolatore di bit.
-
frankies
- Cisco power user
- Messaggi: 81
- Iscritto il: mer 07 set , 2005 8:49 pm
- Località: Lamezia Terme (CZ)
- Contatta:
Salve a tutti,
ho un po di confusione dopo aver letto l'ultima riposta di SithDrew faccio un esempio con la mia eseigenza:
Cisco 837 ------- Red Ipcop ---------Green Ipcop
Wan 10.0.0.139 192.168.1/24
62.123.xx.
Eth0
10.0.0.138
Quindi io devo dirgli al route che
(ip route 192.168.1.0 255.255.255.0 10.0.0.139)
la clasee 192.xx.xx di farmela passare dall'ip 10.0.0.139?
Ma non è meglio dirgli al router che tutto quello che arriva dall'esterno lo fa arrivare sul 10.0.0.139 e poi lui lo gira nella rete interna solo che non so propio come fare
Con il PAT si possono fare le singole porte ma non tutte le porte tcp/udp
almeno penso che sia cosi
ho un po di confusione dopo aver letto l'ultima riposta di SithDrew faccio un esempio con la mia eseigenza:
Cisco 837 ------- Red Ipcop ---------Green Ipcop
Wan 10.0.0.139 192.168.1/24
62.123.xx.
Eth0
10.0.0.138
Quindi io devo dirgli al route che
(ip route 192.168.1.0 255.255.255.0 10.0.0.139)
la clasee 192.xx.xx di farmela passare dall'ip 10.0.0.139?
Ma non è meglio dirgli al router che tutto quello che arriva dall'esterno lo fa arrivare sul 10.0.0.139 e poi lui lo gira nella rete interna solo che non so propio come fare
Con il PAT si possono fare le singole porte ma non tutte le porte tcp/udp
almeno penso che sia cosi
-
andrewp
- Messianic Network master
- Messaggi: 2199
- Iscritto il: lun 13 giu , 2005 7:32 pm
- Località: Roma
La struttura logica è:
CISCO - FW - SOTTORETE
Il Cisco dove trova la sottorete?Sull'interfaccia direttamente connessa del firewall. (Rotta statica).
Il firewall dove trova il restante mondo che non sia la sottorete direttamente connessa?Sull'interfaccia Eth del Cisco. (Il FW ha l'eth del Cisco come default gateway).
Inoltre il Cisco dovrà fare un semplice nat outside overload...
E' più chiaro ora?
CISCO - FW - SOTTORETE
Il Cisco dove trova la sottorete?Sull'interfaccia direttamente connessa del firewall. (Rotta statica).
Il firewall dove trova il restante mondo che non sia la sottorete direttamente connessa?Sull'interfaccia Eth del Cisco. (Il FW ha l'eth del Cisco come default gateway).
Inoltre il Cisco dovrà fare un semplice nat outside overload...
E' più chiaro ora?
Manipolatore di bit.
-
frankies
- Cisco power user
- Messaggi: 81
- Iscritto il: mer 07 set , 2005 8:49 pm
- Località: Lamezia Terme (CZ)
- Contatta:
Quindi se ho capito bene sul mio router devo impostare questa route statica:
ip route 192.168.1.0 255.255.255.0 10.0.0.139
Il router in questo modo sa che per raggiungere la sotto rete 192.168.x.x deve passare dall'op 10.0.0.139. La cosa che non capisco e che se faccio un interrogazione dall'esterno alla porta 80 come fa a sapere che deve cercare la porta 80 nella sottorete 192.168.x.x?
Grazie per la Pazienza
ip route 192.168.1.0 255.255.255.0 10.0.0.139
Il router in questo modo sa che per raggiungere la sotto rete 192.168.x.x deve passare dall'op 10.0.0.139. La cosa che non capisco e che se faccio un interrogazione dall'esterno alla porta 80 come fa a sapere che deve cercare la porta 80 nella sottorete 192.168.x.x?
Grazie per la Pazienza
