Port Forwarding/DMZ con Cisco 803

[mip]

Salve a tutti.
E' possibile dire all'803 di forwardare TUTTE le richieste che gli arrivano dall'interfaccia Dialer1 verso l'interfaccia Ethernet0 su uno specifico ip?
In altre parole, come faccio a dirgli di trattare il mio firewall come un DMZ?
Finora usavo la doppia regola per ogni singola porta:

ip nat inside source static tcp 192.168.0.2 1111 interface Dialer1 1111
ip nat inside source static udp 192.168.0.2 1111 interface Dialer1 1111

però è troppo scomoda, ogni volta che devo aprire una porta verso l'esterno devo farlo sia sul router che sul firewall!
Non esiste una cosa del tipo:

ip nat inside source static tcp 192.168.0.2 all interface Dialer1 all

?

[TheIrish]

la sintassi del NAT Cisco è molto versatile. Non fermati alle possibilità che hai visto googlando in giro, usa il ? e scoprirai quante cose si possono fare.
Nell'istruzione da te descritta, utilizzi protocollo, indirizzo e porta come discriminanti... ma non sei obbligato.
Dopo aver scritto static, prova a dare un bel ? e vedere cosa ti dice...
scusa se non ti do una risposta diretta, ma certe cose vanno scoperte da soli per ricordarle sempre...

[mip]

Allora, dandoti pienamente ragione, ho provato le seguenti istruzioni:

ip nat inside source static <network> <Inside global IP address>
ip nat inside source static 192.168.0.0 192.168.0.2

risultato:non più accedibile da telnet,solo da console

ip nat inside source static <Inside local IP address> <Inside global IP address>
ip nat inside source static 192.168.0.2 192.168.0.2

risultato:non sono più capace di connettermi ad internet

Che posso fare?

[MaiO]

Di qui http://www.cisco.com/en/US/products/sw/ ... ca75b.html

troverai risposta a tutti i tuoi quesiti.

Ciao

[TheIrish]

ip nat inside source static <network> <Inside global IP address>
ip nat inside source static 192.168.0.0 192.168.0.2

infatti l'istruzione è sbaliata...

[mip]

Ok, quindi presumo che la riga da usare sia questa:

ip nat inside source static <Inside local IP address> <Inside global IP address>

che diventerà:
(192.168.0.2: ip del dmz)
ip nat inside source static 192.168.0.2 ??????

e al posto dei "????" che ci metto? Cisco dice:

Inside global address—A legitimate IP address (assigned by the NIC or service provider) that represents one or more inside local IP addresses to the outside world.

Quindi presumo sia l'ip pubblico, che io però, purtroppo, non ho statico ma dinamico....
Quindi? Suggerimenti?

[MaiO]

L'indirizzo IP pubblico (solo se è fisso) altrimenti l'interfaccia.

Ciao

[MaiO]

Presumo Dialer0

Ciao

[mip]

Gli sviluppi:

inside source static 192.168.0.3 222.222.222.222 (ip pubblico)

tutto ok,fà quello che voglio io,ma dovrei cambiare la conf ogni volta che cambio ip (cioè sempre)

ip nat inside source static 192.168.0.3 Dialer1
^
% Invalid input detected at '^' marker.

ip nat inside source static 192.168.0.3 Dialer 1
^
% Invalid input detected at '^' marker.

Niente...siamo da capo...anche perchè non ho mai visto sull'help che si possa specificare l'interfaccia al posto dell'ip.

[TheIrish]

Ogni tanto l'help può effettivamente sviare.
Lui ti da due opzioni dopo l'indirizzo privato:

A.B.C.D Inside global IP address
interface Specify interface for global address

In realtà accetta sia l'indirizzo, sia la parola chiave interface.
Quindi:

Codice: Seleziona tutto

ip nat inside source static 192.168.0.3 interface Dialer1

[MaiO]

sotto ethernet0 hai lo statemant ip nat inside?
sotto dialer1 hai lo statemant ip nat outside?

Se si prova cosi

impossibile che ti dia l'errore!!

ip nat inside source static tcp 192.168.99.1 80 interface dialer1 80

o

ip nat inside source static 192.168.99.1 interface dialer1


Ciao

[mip]

@MaiO:
Sotto Ethernet0 c'è la regola

ip nat inside

sotto Dialer1 e sotto BRI0 c'è la regola

ip nat outside

Regole del tipo:

ip nat inside source static tcp 192.168.0.3 8084 interface Dialer1 8084

erano già impostate (con successo) già da prima.
Per evitare equivoci, i comandi che impartisco sono:
Router>en
Router#conf t
Router(config)#ip nat inside source static 192.168.0.3 Interface Dialer1

Quello che ricevo è:

ip nat inside source static 192.168.0.3 Interface Dialer1
^
% Invalid input detected at '^' marker. (punta sotto la "I" di "Interface")

Quindi non posso inserirla come regola.Prima avevo provato senza la parola chiave "Interface", errando, ma ora l'ho messa, e mi dà lo stesso errore.

@TheIrish:
Provando ad inserire il "?" dopo l'ip mi restituisce:

Router(config)#ip nat inside source static 192.168.0.3 ?
A.B.C.D Inside global IP address

e NON c'è la possibilità di inserire l'interfaccia.
Quindi li sembra volere SOLO l'IP pubblico, non l'interfaccia.
Mentre,se faccio:

Router(config)#ip nat inside source static tcp 192.168.0.3 80 ?
A.B.C.D Inside global IP address
interface Specify interface for global address

vedo che posso inserire anche l'interfaccia.
Che sia la versione di IOS (12.1(5)) che non me lo permette?

Se può servire, in allegato c'è la mia running-config

[MaiO]

Penso proprio che dovrai aggiornare l'IOS

Non appena fatto ne riparliamo.

Ciao

[mip]

Ecco...proprio quello che temevo....e non ho una smartNET (costa troppo per le mie tasche), ho preso il router su eBay....sobh....
Ho già provato anche a cercare l'IOS sui "soliti" canali alternativi, ma non ho trovato nessuna versione più nuova di quella, a parte una 12.3(xx) che funziona da cani (diventa lentissimo a fare qualsiasi operazione) perchè non ho il quantitativo di RAM richiesta per farla funzionare correttamente. Vabbè, vorrà dire che mi concentrerò sul bridging. Avevo già aperto un post ma nessuno mi ha ancora risposto.

Grazie ancora
Saluti

[MaiO]

Io con questa soho70-oy1-mz.122-13.ZH7.bin non ho problemi.

Se riesci a trovarla...


Ciao