[Tech] firewall + cisco 1841 + nat

kaifamm kaifamm@libero.it
Sab 2 Gen 2010 10:42:30 CET 

Ciao Gente e Buon Anno !!!!

A chi potesse interessare (forse a nussuno) funziona e vi riporto le operazioni fatte:

1- Configurato sul fw la scheda eth2 con + indirizzi ip 10.0.1.11 e 10.0.1.12

2- Configurato sul cisco : 
ip nat inside source static tcp 10.0.1.11 80 94.xx.xx.36 80 extendable
ip nat inside source static tcp 10.0.1.12 80 94.xx.xx.37 80 extendable

access-list 102 permit tcp any host 10.0.1.11 eq www
access-list 102 permit tcp any host 10.0.1.12 eq www
 
3-sul firewall 
iptables -t nat -A PREROUTING -i eth2 -d 10.0.1.11 --dport 80  -j DNAT --to 192.168.0.189
iptables -t nat -A PREROUTING -i eth2 -d 10.0.1.12 --dport 80  -j DNAT --to 192.168.0.199

Detto questo visto la mia ignoranza vorrei approfondire un po' il NAT, mi consigliate qualche howto valido ?


Grazie 


 
---------- Initial Header -----------

>From      : tech-bounces@firenze.linux.it
To          : "tech" tech@firenze.linux.it
Cc          : 
Date      : Wed, 30 Dec 2009 10:12:53 +0100
Subject : Re: [Tech] firewall + cisco 1841 + nat







> Ciao,
> 
> ---------- Initial Header -----------
> 
> From      : tech-bounces@firenze.linux.it
> To          : "Discussioni tecniche" tech@firenze.linux.it
> Cc          : 
> Date      : Tue, 29 Dec 2009 19:29:01 +0100
> Subject : Re: [Tech] firewall + cisco 1841 + nat
> 
> > kaifamm wrote:
> > >> Domanda: Non si può evitare di far conoscere a una macchina perimetrale 
> > >> (come il Cisco) gli indirizzi interni della LAN?
> > >> Risposta: sì, se siamo in un contesto di sicurezza a livello paranoid, 
> > >> si può agire diversamente: si può dare all'interfaccia eth2 del firewall 
> > >> un secondo IP, tipo 10.0.1.12, e cambiare il NAT sul Cisco in modo da 
> > >> mappare:
> > >> 94.xx.xx.36:80  ==>  10.0.1.11:80
> > >> 94.xx.xx.37:80  ==>  10.0.1.12:80
> > >> A quel punto il firewall può a sua volta nattare in modo diverso i vari 
> > >> pacchetti:
> > >> 10.0.1.11:80 ===> 192.168.0.189:80
> > >> 10.0.1.12:80 ===> 192.168.0.199:80
> > >>
> > >> Ciao,
> > >>     
> > >
> > > ecco cercavo qualcosa del genere, vedi se mi spiegano piano piano capisco, riepiloghiamo :
> > >
> > > 1- Configuro sul fw la scheda eth2 con + indirizzi ip 10.0.1.11 e 10.0.1.12
> > > 2- Configuro sul cisco : 
> > >
> > > ip nat inside source tcp 10.0.1.11 80 94.xx.xx.36 80 
> > >
> > > ip nat inside source tcp 10.0.1.12 80 94.xx.xx.37 80 
> > >
> > > e il gioco è fatto !!!
> > >
> > > (Per come è già configurato il router dovrebbe ruotare già gli indirizzi di classe 10.0.1.xx sull'interfaccia interna).
> > >
> > > Giusto ?
> > >
> > >   
> > Non ancora: non so come sia configurato attualmente il firewall, ma se 
> > non ci sono regole di NAT i pacchetti la cui destinazione finale è 
> > 10.0.1.11 (o 12) rimarranno dentro il firewall medesimo.
> > Giusto?
> > 
> > Per fare sì che i pacchetti vadano verso la loro naturale destinazione 
> > occorre che il firewall faccia un opportuno NAT:
> > 
> > iptables -t nat -A PREROUTING -i eth2 -d 10.0.1.11 --dport 80  -j DNAT 
> > --to 192.168.0.189
> > iptables -t nat -A PREROUTING -i eth2 -d 10.0.1.12 --dport 80  -j DNAT 
> > --to 192.168.0.199
> > 
> > Ciao,
> > A.
> 
>    si certo, l'avevo lasciato nella penna.
> 
> Ti ringrazio per la pazienza di avermi ascoltato e spiegato.
> 
> _______________________________________________
> FLUG - Discussioni tecniche - tech@firenze.linux.it
> URL: https://lists.firenze.linux.it/mailman/listinfo/tech
> Archivio: http://lists.firenze.linux.it/pipermail/tech
> Ricerca nell'archivio: http://www.firenze.linux.it/search
>

Maggiori informazioni sulla lista flug-tech