[Tech] firewall + cisco 1841 + nat

[Aldo Podavini]

kaifamm wrote:
>> Domanda: Non si può evitare di far conoscere a una macchina perimetrale 
>> (come il Cisco) gli indirizzi interni della LAN?
>> Risposta: sì, se siamo in un contesto di sicurezza a livello paranoid, 
>> si può agire diversamente: si può dare all'interfaccia eth2 del firewall 
>> un secondo IP, tipo 10.0.1.12, e cambiare il NAT sul Cisco in modo da 
>> mappare:
>> 94.xx.xx.36:80  ==>  10.0.1.11:80
>> 94.xx.xx.37:80  ==>  10.0.1.12:80
>> A quel punto il firewall può a sua volta nattare in modo diverso i vari 
>> pacchetti:
>> 10.0.1.11:80 ===> 192.168.0.189:80
>> 10.0.1.12:80 ===> 192.168.0.199:80
>>
>> Ciao,
>>     
>
> ecco cercavo qualcosa del genere, vedi se mi spiegano piano piano capisco, riepiloghiamo :
>
> 1- Configuro sul fw la scheda eth2 con + indirizzi ip 10.0.1.11 e 10.0.1.12
> 2- Configuro sul cisco : 
>
> ip nat inside source tcp 10.0.1.11 80 94.xx.xx.36 80 
>
> ip nat inside source tcp 10.0.1.12 80 94.xx.xx.37 80 
>
> e il gioco è fatto !!!
>
> (Per come è già configurato il router dovrebbe ruotare già gli indirizzi di classe 10.0.1.xx sull'interfaccia interna).
>
> Giusto ?
>
>   
Non ancora: non so come sia configurato attualmente il firewall, ma se 
non ci sono regole di NAT i pacchetti la cui destinazione finale è 
10.0.1.11 (o 12) rimarranno dentro il firewall medesimo.
Giusto?

Per fare sì che i pacchetti vadano verso la loro naturale destinazione 
occorre che il firewall faccia un opportuno NAT:

iptables -t nat -A PREROUTING -i eth2 -d 10.0.1.11 --dport 80  -j DNAT 
--to 192.168.0.189
iptables -t nat -A PREROUTING -i eth2 -d 10.0.1.12 --dport 80  -j DNAT 
--to 192.168.0.199

Ciao,
A.

-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/pipermail/flug-tech/attachments/20091229/a6707da1/attachment.htm>