[Tech] firewall + cisco 1841 + nat

alessio chemeri alessio.chemeri@gmail.com
Mar 29 Dic 2009 12:24:11 CET 

ciao,

Il 29 dicembre 2009 12.14, Aldo Podavini <a.podavini@mclink.it> ha scritto:
> kaifamm@libero.it wrote:
>> Ciao Gente,
>>
>>       ho una situazione un po' strana che non riesco a
>> gestire avrei bisogno di un consiglio, mi spiego :
>>
>> VEDI SCHEMA :  http://www.
>> infosvil.it/documenti/fw.jpg
>>
>> Come potete vedere ho 3 adsl con 3 router
>> separati e un firewall.
>>
>> Tutto funziona (o quasi) : si riesce a navigare,
>> riesco a fare il forward dei pacchetti entranti sui server che voglio, ho
>> aperto le porte giuste, ecc. ecc.
>>
>> Tutti i router sono configurati per
>> eseguire un NAT sia in ingresso che in uscita.
>>
> Che cosa intendi esattamente con "NAT in ingresso" ?

forse intende port mapping in ingresso e Nat in uscita,

> Per esempio: il Cisco come traduce le connessioni in ingresso sui suoi
> vari indirizzi (94.xx.xx.36,37,38,39), e segnatamente sulla porta 80?
> Gli IP della LAN vengono NATtati dal firewall o dai router ?
>
>> Il problema mi nasce con il
>> cisco perchè vorrei che quando mi arriva una connessione da  94.xx.xx..36 sulla
>> porta 80 il FW lo mandasse su un server interno 192.168.0.189 mentre  quando mi
>> arriva una connessione da  94.xx.xx..37 sulla porta 80 il FW lo mandasse su un
>> server interno 192.168.0.199.
>>
>> Io non sono riuscito a farglielo fare, dipende
>> dal NAT ? Non vorrei riconfigurare il cisco ..............
>>
>>
> Sulla porta 80 ma su quale indirizzo ?
> Se, come immagino, il Cisco traduce tutte le connessioni in ingresso
> verso un unico indirizzo interno, a prescindere da quale fosse
> l'indirizzo di destinazione del pacchetto entrante
> (94.xx.xx.36,37,38,39), non hai alcuna possibilità: i pacchetti che
> giungono al firewall sono assolutamente indistinguibili. Pertanto è
> necessario cambiare il NAT sul Cisco.

beh se ha due ip entranti puo' redirezionarli su ip diversi anche se
arrivassero tutti e due a richedere la porta 80, in effetti son porte
uguali ma di ip differenti...


>
>
>> In + sarebbe
>> possibile usare un'unica interfaccia di rete per tutti e tre i router ? eth0/0
>> eth0/1 ?
> Sì, certo.
> Anzi, ti dirò che la tua configurazione è poco comune: normalmente le
> diverse interfacce del firewall si usano per le diverse sottoreti (LAN,
> WAN, DMZ, etc), non per gestire i diversi router Internet, che
> normalmente stanno tutti sulla stessa sottorete (la WAN, appunto); a
> meno che non si sia in un contesto di HA e si vogliano prevenire i fault
> dello switch (ma a quel punto anche il firewall andrebbe ridondato).
>
> A.
> _______________________________________________
> FLUG - Discussioni tecniche - tech@firenze.linux.it
> URL: https://lists.firenze.linux.it/mailman/listinfo/tech
> Archivio: http://lists.firenze.linux.it/pipermail/tech
> Ricerca nell'archivio: http://www.firenze.linux.it/search

Maggiori informazioni sulla lista flug-tech