[Tech] firewall + cisco 1841 + nat
Aldo Podavini
a.podavini@mclink.it
Mar 29 Dic 2009 19:29:01 CET
kaifamm wrote:
>> Domanda: Non si può evitare di far conoscere a una macchina perimetrale
>> (come il Cisco) gli indirizzi interni della LAN?
>> Risposta: sì, se siamo in un contesto di sicurezza a livello paranoid,
>> si può agire diversamente: si può dare all'interfaccia eth2 del firewall
>> un secondo IP, tipo 10.0.1.12, e cambiare il NAT sul Cisco in modo da
>> mappare:
>> 94.xx.xx.36:80 ==> 10.0.1.11:80
>> 94.xx.xx.37:80 ==> 10.0.1.12:80
>> A quel punto il firewall può a sua volta nattare in modo diverso i vari
>> pacchetti:
>> 10.0.1.11:80 ===> 192.168.0.189:80
>> 10.0.1.12:80 ===> 192.168.0.199:80
>>
>> Ciao,
>>
>
> ecco cercavo qualcosa del genere, vedi se mi spiegano piano piano capisco, riepiloghiamo :
>
> 1- Configuro sul fw la scheda eth2 con + indirizzi ip 10.0.1.11 e 10.0.1.12
> 2- Configuro sul cisco :
>
> ip nat inside source tcp 10.0.1.11 80 94.xx.xx.36 80
>
> ip nat inside source tcp 10.0.1.12 80 94.xx.xx.37 80
>
> e il gioco è fatto !!!
>
> (Per come è già configurato il router dovrebbe ruotare già gli indirizzi di classe 10.0.1.xx sull'interfaccia interna).
>
> Giusto ?
>
>
Non ancora: non so come sia configurato attualmente il firewall, ma se
non ci sono regole di NAT i pacchetti la cui destinazione finale è
10.0.1.11 (o 12) rimarranno dentro il firewall medesimo.
Giusto?
Per fare sì che i pacchetti vadano verso la loro naturale destinazione
occorre che il firewall faccia un opportuno NAT:
iptables -t nat -A PREROUTING -i eth2 -d 10.0.1.11 --dport 80 -j DNAT
--to 192.168.0.189
iptables -t nat -A PREROUTING -i eth2 -d 10.0.1.12 --dport 80 -j DNAT
--to 192.168.0.199
Ciao,
A.
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/pipermail/flug-tech/attachments/20091229/a6707da1/attachment.htm>
Maggiori informazioni sulla lista
flug-tech