<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
kaifamm wrote:
<blockquote cite="mid:KVFEAH$D149DC657FAF785F07B05D49CB8C39AE@libero.it"
type="cite">
<blockquote type="cite">
<pre wrap="">
Domanda: Non si può evitare di far conoscere a una macchina perimetrale
(come il Cisco) gli indirizzi interni della LAN?
Risposta: sì, se siamo in un contesto di sicurezza a livello paranoid,
si può agire diversamente: si può dare all'interfaccia eth2 del firewall
un secondo IP, tipo 10.0.1.12, e cambiare il NAT sul Cisco in modo da
mappare:
94.xx.xx.36:80 ==> 10.0.1.11:80
94.xx.xx.37:80 ==> 10.0.1.12:80
A quel punto il firewall può a sua volta nattare in modo diverso i vari
pacchetti:
10.0.1.11:80 ===> 192.168.0.189:80
10.0.1.12:80 ===> 192.168.0.199:80
Ciao,
</pre>
</blockquote>
<pre wrap=""><!---->
ecco cercavo qualcosa del genere, vedi se mi spiegano piano piano capisco, riepiloghiamo :
1- Configuro sul fw la scheda eth2 con + indirizzi ip 10.0.1.11 e 10.0.1.12
2- Configuro sul cisco :
ip nat inside source tcp 10.0.1.11 80 94.xx.xx.36 80
ip nat inside source tcp 10.0.1.12 80 94.xx.xx.37 80
e il gioco è fatto !!!
(Per come è già configurato il router dovrebbe ruotare già gli indirizzi di classe 10.0.1.xx sull'interfaccia interna).
Giusto ?
</pre>
</blockquote>
Non ancora: non so come sia configurato attualmente il firewall, ma se
non ci sono regole di NAT i pacchetti la cui destinazione finale è
10.0.1.11 (o 12) rimarranno dentro il firewall medesimo.<br>
Giusto?<br>
<br>
Per fare sì che i pacchetti vadano verso la loro naturale destinazione
occorre che il firewall faccia un opportuno NAT:<br>
<br>
<tt>iptables -t nat -A PREROUTING -i eth2 -d 10.0.1.11 --dport 80 -j
DNAT --to 192.168.0.189<br>
iptables -t nat -A PREROUTING -i eth2 -d 10.0.1.12 --dport 80 -j DNAT
--to 192.168.0.199</tt>
<br>
<br>
Ciao,<br>
A.<br>
<br>
</body>
</html>