[Tech] firewall + cisco 1841 + nat

kaifamm kaifamm@libero.it
Mar 29 Dic 2009 15:29:24 CET 

Ciao,

    innanzitutto, grazie per le risposte.

Purtroppo anche io non mastico cisco per cui chiedo aiuto a voi.

Quello che tu mi dici non mi sembra corretto, perchè facendolo viene by-passato il FW. Se c'ho capito qualcosa......

Mi pare strano che non si possano gestire + IP pubblici lasciando il nat.



---------- Initial Header -----------

>From      : tech-bounces@firenze.linux.it
To          : "Discussioni tecniche" tech@firenze.linux.it
Cc          : 
Date      : Tue, 29 Dec 2009 14:12:51 +0100
Subject : Re: [Tech] firewall + cisco 1841 + nat







> kaifamm wrote:
> > Ciao,
> >
> >       infatti credo anche io che tu abbia ragione, non si puo' usare qualcosa sul cisco tipo VLAN (non credo) oppure marcare in qualche modo i pacchetti, sempre dal cisco, e poi filtrarli sul fw ?
> >
> > Se non si puo' fare come deve essere configurato il cisco ?
> >
> >   
> 
> Beh, ma se puoi mettere le mani sulla configurazione del Cisco, anzichè 
> fare cose strane tipo marcarli per successive ispezioni da parte del 
> firewall, NATtali direttamente sui due indirizzi interni diversi.
> Non mastico i Cisco, ma se fosse una linuxbox farei una cosa tipo:
> 
> iptables -t nat -A PREROUTING -i $InterfacciaEsterna -d 94.xx.xx.36 
> --dport 80 -j DNAT --to 192.168.0.189
> iptables -t nat -A PREROUTING -i $InterfacciaEsterna -d 94.xx.xx.37 
> --dport 80 -j DNAT --to 192.168.0.199
> 
> Googlando un po'  leggo che:
> > *ip nat inside source*
> >         
> > 	
> >
> >    *
> >
> >       Translates the source of IP packets that are traveling inside to
> >       outside.
> >
> >    *
> >
> >       Translates the destination of the IP packets that are traveling
> >       outside to inside.
> >
> 
> il che sembrerebbe fare al caso nostro, che so, una cosa tipo:
> 
> ip nat inside source tcp 192.168.0.189 80 94.xx.xx.36 80 
> 
> ip nat inside source tcp 192.168.0.199 80 94.xx.xx.37 80 
> 
> (ovviamente poi bisogna anche fare in modo che il router sappia che gli indirizzi 192.168.xx.xx vanno ruotati sull'interfaccia interna).
> 
> Ma, come ripeto, non mastico Cisco.
> 
> A.
> 
> 
> 
> 
>

Maggiori informazioni sulla lista flug-tech