[Tech] firewall + cisco 1841 + nat

kaifamm kaifamm@libero.it
Mer 30 Dic 2009 10:12:53 CET 

Ciao,

---------- Initial Header -----------

>From      : tech-bounces@firenze.linux.it
To          : "Discussioni tecniche" tech@firenze.linux.it
Cc          : 
Date      : Tue, 29 Dec 2009 19:29:01 +0100
Subject : Re: [Tech] firewall + cisco 1841 + nat

> kaifamm wrote:
> >> Domanda: Non si può evitare di far conoscere a una macchina perimetrale 
> >> (come il Cisco) gli indirizzi interni della LAN?
> >> Risposta: sì, se siamo in un contesto di sicurezza a livello paranoid, 
> >> si può agire diversamente: si può dare all'interfaccia eth2 del firewall 
> >> un secondo IP, tipo 10.0.1.12, e cambiare il NAT sul Cisco in modo da 
> >> mappare:
> >> 94.xx.xx.36:80  ==>  10.0.1.11:80
> >> 94.xx.xx.37:80  ==>  10.0.1.12:80
> >> A quel punto il firewall può a sua volta nattare in modo diverso i vari 
> >> pacchetti:
> >> 10.0.1.11:80 ===> 192.168.0.189:80
> >> 10.0.1.12:80 ===> 192.168.0.199:80
> >>
> >> Ciao,
> >>     
> >
> > ecco cercavo qualcosa del genere, vedi se mi spiegano piano piano capisco, riepiloghiamo :
> >
> > 1- Configuro sul fw la scheda eth2 con + indirizzi ip 10.0.1.11 e 10.0.1.12
> > 2- Configuro sul cisco : 
> >
> > ip nat inside source tcp 10.0.1.11 80 94.xx.xx.36 80 
> >
> > ip nat inside source tcp 10.0.1.12 80 94.xx.xx.37 80 
> >
> > e il gioco è fatto !!!
> >
> > (Per come è già configurato il router dovrebbe ruotare già gli indirizzi di classe 10.0.1.xx sull'interfaccia interna).
> >
> > Giusto ?
> >
> >   
> Non ancora: non so come sia configurato attualmente il firewall, ma se 
> non ci sono regole di NAT i pacchetti la cui destinazione finale è 
> 10.0.1.11 (o 12) rimarranno dentro il firewall medesimo.
> Giusto?
> 
> Per fare sì che i pacchetti vadano verso la loro naturale destinazione 
> occorre che il firewall faccia un opportuno NAT:
> 
> iptables -t nat -A PREROUTING -i eth2 -d 10.0.1.11 --dport 80  -j DNAT 
> --to 192.168.0.189
> iptables -t nat -A PREROUTING -i eth2 -d 10.0.1.12 --dport 80  -j DNAT 
> --to 192.168.0.199
> 
> Ciao,
> A.

   si certo, l'avevo lasciato nella penna.

Ti ringrazio per la pazienza di avermi ascoltato e spiegato.

Maggiori informazioni sulla lista flug-tech