[Tech] firewall + cisco 1841 + nat

kaifamm kaifamm@libero.it
Mar 29 Dic 2009 13:12:02 CET 

Ciao,

      infatti credo anche io che tu abbia ragione, non si puo' usare qualcosa sul cisco tipo VLAN (non credo) oppure marcare in qualche modo i pacchetti, sempre dal cisco, e poi filtrarli sul fw ?

Se non si puo' fare come deve essere configurato il cisco ?

grazie

ecco la mia config del cisco :

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname t-0xxxxxxxxxxxx
!
boot-start-marker
boot-end-marker
!
enable password xxxxxxxxxxxx
!
no aaa new-model
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
!
!
!
username xxxxxxxxxx password xxxxxxxxxxx
!
!
!
interface FastEthernet0/0
 ip address 94.xx.xx.35 255.255.255.240 secondary
 ip address 10.0.1.4 255.255.255.0
 ip nat inside
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Serial0/0/0
 no ip address
 ip access-group 102 in
 encapsulation frame-relay IETF
 frame-relay lmi-type cisco
!
interface Serial0/0/0.1 point-to-point
 ip address 94.xx.xx.190 255.255.255.252
 ip nat outside
 frame-relay interface-dlci 591 IETF
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0/0.1
!
ip http server
ip nat pool gruppo 94.xx.xx.34 94.xx.xx.34 netmask 255.255.255.240
ip nat source static tcp 10.0.1.11 22 94.xx.xx.36 22 extendable
ip nat inside source list 101 pool gruppo overload
ip nat inside source static tcp 10.0.1.11 22 94.xx.xx.36 22 extendable
ip nat inside source static tcp 10.0.1.11 80 94.xx.xx.36 80 extendable
ip nat inside source static tcp 10.0.1.11 443 94.xx.xx.36 443 extendable

come sopra per IP : 94.xx.xx.37 / 38 / 39 

!
access-list 101 permit ip 10.0.1.0 0.0.0.255 any
access-list 102 permit tcp any host 10.0.1.11 eq 22
access-list 102 permit tcp any host 10.0.1.11 eq 443
access-list 102 permit tcp any host 10.0.1.11 eq www
access-list 102 deny   tcp any any
access-list 102 deny   udp any any
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
 password xxxxxxxxx
 login local
!
end


  

---------- Initial Header -----------

>From      : tech-bounces@firenze.linux.it
To          : "Discussioni tecniche" tech@firenze.linux.it
Cc          : 
Date      : Tue, 29 Dec 2009 12:32:56 +0100
Subject : Re: [Tech] firewall + cisco 1841 + nat

> alessio chemeri wrote:
> >>
> >> Che cosa intendi esattamente con "NAT in ingresso" ?
> >>     
> >
> > forse intende port mapping in ingresso e Nat in uscita,
> >
> >   
> Forse.
> 
> >
> >> Sulla porta 80 ma su quale indirizzo ?
> >> Se, come immagino, il Cisco traduce tutte le connessioni in ingresso
> >> verso un unico indirizzo interno, a prescindere da quale fosse
> >> l'indirizzo di destinazione del pacchetto entrante
> >> (94.xx.xx.36,37,38,39), non hai alcuna possibilità: i pacchetti che
> >> giungono al firewall sono assolutamente indistinguibili. Pertanto è
> >> necessario cambiare il NAT sul Cisco.
> >>     
> >
> > beh se ha due ip entranti puo' redirezionarli su ip diversi anche se
> > arrivassero tutti e due a richedere la porta 80, in effetti son porte
> > uguali ma di ip differenti...
> >
> >   
> 
> No, se il router li ha NATtati su un unico indirizzo interno il firewall 
> non può più riconoscerli.
> La redirezione che dici tu può farla solo il router; come dicevo, è 
> necessario cambiare il NAT sul Cisco.
> 
> A.
> _______________________________________________
> FLUG - Discussioni tecniche - tech@firenze.linux.it
> URL: https://lists.firenze.linux.it/mailman/listinfo/tech
> Archivio: http://lists.firenze.linux.it/pipermail/tech
> Ricerca nell'archivio: http://www.firenze.linux.it/search

Maggiori informazioni sulla lista flug-tech