salve
ho un cisco 827 per la connessione a internet e un firewall watchguard
l'indirizzo del cisco è 192.168.1.1 quello del watchguard è 192.168.1.2 lato wan, dovrei dire al cisco di girare tutte le porte in ingresso sul 192.168.1.2
siccome le gestisco dal watchguard (o almeno vorrei riuscirci)
ho fatto varie prove :
all'inizio pensavo a una cosa del genere:
ip nat inside source static 192.168.1.2 interface Dialer0
ma mi da errore vuole che specifico un'indirizzo non un'interfaccia,
leggendo un po in giro suppongo che devo dire all'interfaccia dialer0 di acettare connesioni in ingresso tramite un'acl all'inizio ho provato con 3 porte giusto per cercar di capire :
interface dialer0
ip access-group 101 in
access-list 101 permit tcp any any eq 5800
access-list 101 permit tcp any any eq 5900
access-list 101 permit tcp any any eq 3389
ip nat inside source static tcp 192.168.1.2 5800 interface DIALER0 5800
ip nat inside source static tcp 192.168.1.2 5900 interface DIALER0 5900
ip nat inside source static tcp 192.168.1.2 3389 interface DIALER0 3389
niente da fare dove sto sbagliando ?,
ho provato a definire tutte le porte come range:
access-list 111 permit tcp host 192.168.1.2 range 1 65535 any
access-list 111 permit UDP host 192.168.1.2 range 1 65535 any
ip nat inside source list 111 INTERFACE DIALER0
questa è la configurazione con le prove che ho fatto:
come faccio a girare tutto il traffico in ingresso su 192.168.1.2 che è la wan del firewall ? grazie daniel
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log uptime
service password-encryption
!
hostname F5ADSL-Router
!
enable secret 5 X
!
username X password 7 X
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip domain-name ngi.it
ip name-server 88.149.128.12
ip name-server 88.149.128.22
!
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
ip nat inside
no ip route-cache
hold-queue 100 out
!
interface ATM0
no ip address
no ip route-cache
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5snap
protocol ppp dialer
dialer pool-member 1
!
bundle-enable
dsl operating-mode auto
hold-queue 224 in
!
interface Dialer0
ip address negotiated
ip access-group 101 in
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp pap sent-username X password 7 X
!
ip nat pool p2p 192.168.1.2 192.168.1.2 netmask 255.255.255.0 type rotary
ip nat inside source list 10 interface Dialer0 overload
ip nat inside source list 111 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.2 5800 interface Dialer0 5800
ip nat inside source static tcp 192.168.1.2 5900 interface Dialer0 5900
ip nat inside source static tcp 192.168.1.2 3389 interface Dialer0 3389
ip nat inside destination list 100 pool p2p
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
!
!
access-list 10 permit 192.168.1.0 0.0.0.255
access-list 100 permit tcp any any range 1 65535
access-list 100 permit udp any any range 1 65535
access-list 100 permit ip any any
access-list 101 permit tcp any any eq 5900
access-list 101 permit tcp any any eq 5800
access-list 101 permit tcp any any eq 3389
access-list 101 permit tcp any any
access-list 101 permit udp any any
dialer-list 1 protocol ip permit
!
line con 0
stopbits 1
line vty 0 4
login local
!
scheduler max-task-time 5000
end
aprire porte in entrata su 827
Moderatore: Federico.Lagni
-
Daniel Tekniko
- n00b
- Messaggi: 11
- Iscritto il: gio 29 nov , 2007 7:59 pm
in parte o risolto girando staticamente le porte che utilizzo e non tutte come volevo, quindi ogni modifica oltre che sul firewall la devo fare anche sul router .
per risolvere totalmente mi sto procurando 16 mb di ram da aggiungerci per poter installare questo ios Release 12.2(13)T o superiore che supporta questo comando ip nat inside source static 192.168.1.2 interface Dialer0
per fare quello che mi serve.
per risolvere totalmente mi sto procurando 16 mb di ram da aggiungerci per poter installare questo ios Release 12.2(13)T o superiore che supporta questo comando ip nat inside source static 192.168.1.2 interface Dialer0
per fare quello che mi serve.
-
orion
- Cisco power user
- Messaggi: 109
- Iscritto il: mer 17 ott , 2007 5:40 pm
- Località: Cosenza
Se poò interessarti questa è una configurazione che fa esattamente quello che chiedi tu, ovvero:
[CISCO827]-----[FIREWALL]=========LAN
Dove
CISCO827: 192.168.0.1/24
FIREWALL:
L________192.168.0.2/24
L________192.168.1.254/24
LAN: 192.168.1.0/24
l'unica differenza è che il firewall in questione è un pc MONOWALL
Tutte le connessioni sono nattate sul firewall che a sua volta le gira su vari PC come da esigenza.
Spero ti sia utile!
saluti!
[CISCO827]-----[FIREWALL]=========LAN
Dove
CISCO827: 192.168.0.1/24
FIREWALL:
L________192.168.0.2/24
L________192.168.1.254/24
LAN: 192.168.1.0/24
l'unica differenza è che il firewall in questione è un pc MONOWALL
Codice: Seleziona tutto
Current configuration : 2150 bytes
!
version 12.3
no service pad
no service timestamps debug uptime
no service timestamps log uptime
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no logging on
enable secret 5 XXXXXXXXXXXXXXXX
enable password 7 XXXXXXXXXXXXXXXX
!
no aaa new-model
ip subnet-zero
ip name-server 212.216.172.62
ip name-server 212.216.172.162
!
!
!
!
!
!
!
interface Ethernet0
ip address 192.168.0.1 255.255.255.0
ip nat inside
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
pvc 8/35
encapsulation aal5snap
protocol ppp dialer
dialer pool-member 1
!
!
interface Dialer0
ip address negotiated
ip nat outside
encapsulation ppp
ip tcp header-compression
dialer pool 1
dialer-group 1
ppp pap sent-username aliceadsl password 0 aliceadsl
!
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 192.168.0.2 9090 interface Dialer0 9090
ip nat inside source static tcp 192.168.0.2 23 interface Dialer0 23
ip nat inside source static udp 192.168.0.2 4662 interface Dialer0 4662
ip nat inside source static udp 192.168.0.2 4242 interface Dialer0 4242
ip nat inside source static tcp 192.168.0.2 4242 interface Dialer0 4242
ip nat inside source static tcp 192.168.0.2 22 interface Dialer0 10022
ip nat inside source static tcp 192.168.0.2 4662 interface Dialer0 4662
ip nat inside source static tcp 192.168.0.2 80 interface Dialer0 80
ip nat inside source static tcp 192.168.0.2 8080 interface Dialer0 8080
ip nat inside source static tcp 192.168.0.2 4711 interface Dialer0 99
ip nat inside source static tcp 192.168.0.2 5060 interface Dialer0 5060
ip nat inside source static tcp 192.168.0.2 4949 interface Dialer0 4949
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
no ip http secure-server
!
no logging trap
access-list 101 permit ip host 192.168.0.2 any
no cdp run
!
!
line con 0
password 7 XXXXXXXXXXXXXXXX
login
stopbits 1
line vty 0 4
exec-timeout 120 0
password 7 XXXXXXXXXXXXXXXX
login
length 0
!
scheduler max-task-time 5000
end
Spero ti sia utile!
saluti!
Impossible is nothing, just do it!
