[Tech] firewall + cisco 1841 + nat
kaifamm
kaifamm@libero.it
Sab 2 Gen 2010 10:42:30 CET
Ciao Gente e Buon Anno !!!!
A chi potesse interessare (forse a nussuno) funziona e vi riporto le operazioni fatte:
1- Configurato sul fw la scheda eth2 con + indirizzi ip 10.0.1.11 e 10.0.1.12
2- Configurato sul cisco :
ip nat inside source static tcp 10.0.1.11 80 94.xx.xx.36 80 extendable
ip nat inside source static tcp 10.0.1.12 80 94.xx.xx.37 80 extendable
access-list 102 permit tcp any host 10.0.1.11 eq www
access-list 102 permit tcp any host 10.0.1.12 eq www
3-sul firewall
iptables -t nat -A PREROUTING -i eth2 -d 10.0.1.11 --dport 80 -j DNAT --to 192.168.0.189
iptables -t nat -A PREROUTING -i eth2 -d 10.0.1.12 --dport 80 -j DNAT --to 192.168.0.199
Detto questo visto la mia ignoranza vorrei approfondire un po' il NAT, mi consigliate qualche howto valido ?
Grazie
---------- Initial Header -----------
>From : tech-bounces@firenze.linux.it
To : "tech" tech@firenze.linux.it
Cc :
Date : Wed, 30 Dec 2009 10:12:53 +0100
Subject : Re: [Tech] firewall + cisco 1841 + nat
> Ciao,
>
> ---------- Initial Header -----------
>
> From : tech-bounces@firenze.linux.it
> To : "Discussioni tecniche" tech@firenze.linux.it
> Cc :
> Date : Tue, 29 Dec 2009 19:29:01 +0100
> Subject : Re: [Tech] firewall + cisco 1841 + nat
>
> > kaifamm wrote:
> > >> Domanda: Non si può evitare di far conoscere a una macchina perimetrale
> > >> (come il Cisco) gli indirizzi interni della LAN?
> > >> Risposta: sì, se siamo in un contesto di sicurezza a livello paranoid,
> > >> si può agire diversamente: si può dare all'interfaccia eth2 del firewall
> > >> un secondo IP, tipo 10.0.1.12, e cambiare il NAT sul Cisco in modo da
> > >> mappare:
> > >> 94.xx.xx.36:80 ==> 10.0.1.11:80
> > >> 94.xx.xx.37:80 ==> 10.0.1.12:80
> > >> A quel punto il firewall può a sua volta nattare in modo diverso i vari
> > >> pacchetti:
> > >> 10.0.1.11:80 ===> 192.168.0.189:80
> > >> 10.0.1.12:80 ===> 192.168.0.199:80
> > >>
> > >> Ciao,
> > >>
> > >
> > > ecco cercavo qualcosa del genere, vedi se mi spiegano piano piano capisco, riepiloghiamo :
> > >
> > > 1- Configuro sul fw la scheda eth2 con + indirizzi ip 10.0.1.11 e 10.0.1.12
> > > 2- Configuro sul cisco :
> > >
> > > ip nat inside source tcp 10.0.1.11 80 94.xx.xx.36 80
> > >
> > > ip nat inside source tcp 10.0.1.12 80 94.xx.xx.37 80
> > >
> > > e il gioco è fatto !!!
> > >
> > > (Per come è già configurato il router dovrebbe ruotare già gli indirizzi di classe 10.0.1.xx sull'interfaccia interna).
> > >
> > > Giusto ?
> > >
> > >
> > Non ancora: non so come sia configurato attualmente il firewall, ma se
> > non ci sono regole di NAT i pacchetti la cui destinazione finale è
> > 10.0.1.11 (o 12) rimarranno dentro il firewall medesimo.
> > Giusto?
> >
> > Per fare sì che i pacchetti vadano verso la loro naturale destinazione
> > occorre che il firewall faccia un opportuno NAT:
> >
> > iptables -t nat -A PREROUTING -i eth2 -d 10.0.1.11 --dport 80 -j DNAT
> > --to 192.168.0.189
> > iptables -t nat -A PREROUTING -i eth2 -d 10.0.1.12 --dport 80 -j DNAT
> > --to 192.168.0.199
> >
> > Ciao,
> > A.
>
> si certo, l'avevo lasciato nella penna.
>
> Ti ringrazio per la pazienza di avermi ascoltato e spiegato.
>
> _______________________________________________
> FLUG - Discussioni tecniche - tech@firenze.linux.it
> URL: https://lists.firenze.linux.it/mailman/listinfo/tech
> Archivio: http://lists.firenze.linux.it/pipermail/tech
> Ricerca nell'archivio: http://www.firenze.linux.it/search
>
Maggiori informazioni sulla lista
flug-tech