[Tech] firewall + cisco 1841 + nat

Aldo Podavini a.podavini@mclink.it
Mar 29 Dic 2009 12:14:26 CET 

kaifamm@libero.it wrote:
> Ciao Gente,          
>
>       ho una situazione un po' strana che non riesco a 
> gestire avrei bisogno di un consiglio, mi spiego :
>
> VEDI SCHEMA :  http://www.
> infosvil.it/documenti/fw.jpg
>
> Come potete vedere ho 3 adsl con 3 router 
> separati e un firewall. 
>
> Tutto funziona (o quasi) : si riesce a navigare, 
> riesco a fare il forward dei pacchetti entranti sui server che voglio, ho 
> aperto le porte giuste, ecc. ecc. 
>
> Tutti i router sono configurati per 
> eseguire un NAT sia in ingresso che in uscita. 
>   
Che cosa intendi esattamente con "NAT in ingresso" ?
Per esempio: il Cisco come traduce le connessioni in ingresso sui suoi 
vari indirizzi (94.xx.xx.36,37,38,39), e segnatamente sulla porta 80?
Gli IP della LAN vengono NATtati dal firewall o dai router ?

> Il problema mi nasce con il 
> cisco perchè vorrei che quando mi arriva una connessione da  94.xx.xx..36 sulla 
> porta 80 il FW lo mandasse su un server interno 192.168.0.189 mentre  quando mi 
> arriva una connessione da  94.xx.xx..37 sulla porta 80 il FW lo mandasse su un 
> server interno 192.168.0.199. 
>
> Io non sono riuscito a farglielo fare, dipende 
> dal NAT ? Non vorrei riconfigurare il cisco .............. 
>
>   
Sulla porta 80 ma su quale indirizzo ?
Se, come immagino, il Cisco traduce tutte le connessioni in ingresso 
verso un unico indirizzo interno, a prescindere da quale fosse 
l'indirizzo di destinazione del pacchetto entrante 
(94.xx.xx.36,37,38,39), non hai alcuna possibilità: i pacchetti che 
giungono al firewall sono assolutamente indistinguibili. Pertanto è 
necessario cambiare il NAT sul Cisco.


> In + sarebbe 
> possibile usare un'unica interfaccia di rete per tutti e tre i router ? eth0/0 
> eth0/1 ? 
Sì, certo.
Anzi, ti dirò che la tua configurazione è poco comune: normalmente le 
diverse interfacce del firewall si usano per le diverse sottoreti (LAN, 
WAN, DMZ, etc), non per gestire i diversi router Internet, che 
normalmente stanno tutti sulla stessa sottorete (la WAN, appunto); a 
meno che non si sia in un contesto di HA e si vogliano prevenire i fault 
dello switch (ma a quel punto anche il firewall andrebbe ridondato).

A.

Maggiori informazioni sulla lista flug-tech