Salve a tutti, vorrei chiarire con voi esperti alcuni concetti di rete sui router, i firewall e ip pubblici.

Poniamo questo scenario di riferimento, vorrei che mi correggeste se ritenete che sto sbagliando approccio...sono qui per imparare:

8 IP Pubblici assegnati alla linea HDSL a.b.c.224-a.b.c.231 255.255.255.248
Il router CISCO (1841 è quello su cui posso fare esperimenti)
la seriale del router è il LINK ISP con un'altro IP PUBBLICO.

L'ip pubblico del link con l'isp lo ignoro, il primo e l'ultimo a.b.c.224 e a.b.c.231 pure.

La topologia sarebbe questa:
ISP---Router---Firewall---

Dal Firewall si va alla DMZ (10.1.1.0/24) e alla LAN (192.168.1.0/24)

L'ISP fa in modo che tutte le richieste inviate a QUALUNQUE dei 6 ip pubblici utilizzabili arrivi al router CISCO.

Ora, non vorrei assegnare ip pubblici direttamente alle interfacce dei miei server in DMZ, vorrei che, ad esempio il web server del 10.1.1.5 risponda a a.b.c.226 mentre quello sul 10.1.1.6 risponda a a.b.c.227.

Ho valutato questa possibilità ma credo che ce ne siano altre, ma il problema riscontrato sarà lo stesso...

Assegnare un indirizzo privato anche nella rete Router-Firewall:
FastEthernet Router 172.16.0.1 e WAN firewall 172.16.0.2.

Ora, tutte le richieste su TUTTI gli ip pubblici devono essere gestiti sul firewall, giusto ?? Come faccio ?? Ho provato a dare questo comando al router, come da manuale: Configurazione di un NAT statico: tradurre un indirizzo privato in un indirizzo pubblico permanente:

ip nat inside source static 172.16.0.2 a.b.c.225

avevo intenzione di farlo uguale per tutti...

ip nat inside source static 172.16.0.2 a.b.c.225
ip nat inside source static 172.16.0.2 a.b.c.226
ip nat inside source static 172.16.0.2 a.b.c.227
ip nat inside source static 172.16.0.2 a.b.c.228
....

In modo che ad ogni richiesta venga interpellato il firewall, ma al primo invio, ho notato che la riga
ip nat inside source static 172.16.0.2 a.b.c.225
non c'è nel running-config...non me l'ha preso, anche se non mi ha dato errore.

Lo accetta solo se metto anche la porta e la subnet ma non è quello che voglio.

Quindi sono fermo...

Concettualmente sbaglio ?? E se non sbaglio come idea, cosa sbaglio nella pratica? Quali sono le mie alternative ??
Potrei assegnare il primo ip pubblico alla FastEthernet del router e il secondo ip pubblico alla wan del firewall.
FastEthernet router a.b.c.225
WAN Firewall a.b.c.226

Così il firewall è in internet ma gestisce solo le richieste allo a.b.c.226
le richieste a a.b.c.227 228 229 230 continuano ad arrivare al router e allora sono al punto di partenza...

Come firewall stavo pensando ad un server linux con 3 interfacce, magari endian o ipcop...

Spero che mi aiutiate a capire come funziona e come bisogna affrontare questo lato del networking perchè mi sta confondendo un bel po.

Grazie per l'aiuto...
ciao

ha dato poi il comand nella interfaccia eth "ip nat inside"
e nell'interfacci wan "ip nat outside"?

dopo che crei le tabelle del nat statico devi dir al router da quali interfacce vuoi la traduzione.

C'era già dalla configurazione precedente...comunque confermo che Serial 0/0/0 ha ip nat outside e FastEthernet ha ip nat inside...
Quello che mi fa strano è che il comando non dia errore ma nel running-config non lo trovo da nessuna parte.

sh ip nat static

che ti fa vedere?

a mio avviso stai sbagliando l'assegnazione dei ruoli.

Il router di solito è usato SOLO come interfaccia che riesce a far parlare e mette in comunicazione quello che l'isp ti porta (fibra, adsl, cdn , quello che è) e la tua lan che usa ethernet. Il router ha questo ruolo.

Quando hai anche un firewall dedicato, il router perde anche il ruolo di port forwarding e di colui che ti fa il nat.

Il nat, il port forwarding, la dmz etc sono ruoli demandabili ad un unico apparecchio che è il firewall. Mischiare tali ruoli su diversi apparati genera difficoltà di gestione e in generale, confusione.

Per cui secondo me, o meglio, io gestirei la cosa cosi (anzi gestisco sempre la cosa cosi :) ):

- il router fa solo da transceiver tra quello che ti arriva dall'isp (fà parlare quindi una fibra ad esempio con l'ethernet) ruotando tra il pool pubblico assegnato e il peer to peer tra questo router e il router dell'isp remoto. Niente nat, niente port forward, niente regole. Tutto aperto. Con gli ip pubblici lato lan.

- il firewall invece avrà il ruolo di nattare il traffico, pubblicare i servizi attraverso i port forward, fare le nat 1:1, gestire il traffico per la dmz, gestire il traffico tra la dmz e la lan.

Quindi io sposterei la gestione della tua nat 1:1 sul firewall anziche gestirlo sul router.

Ciao

Ciao, credo di aver capito cosa intendi, il problema è che credo di sbagliare qualcosa perchè comunque continuo a fare nat, anzi adesso non li posso più nemmeno fare....mi spiego meglio perchè è un po contorto.

Ho assegnato al router 172.16.0.1
la ethernet del firewall direttamente attaccata all'interfaccia del router: 172.16.0.2

i miei indirizzi pubblici sono
dal ip_pub225 al ip_pub230 utilizzabili.

Sul router ho fatto un
ip nat inside static 172.16.0.2 ip_pub_230

Sul firewall ho settato 5 Alias IP:
ip_pub225
ip_pub226
ip_pub227
ip_pub228
ip_pub229

Ora, dall'esterno, l'ip_pub230 è perfettamente gestito dal firewall che forwarda su una macchina in dmz a seconda delle porte...

Io però volevo far gestire al firewall tutti gli ip_pub, però il router non mi permette di fare altri nat sul 172.16.0.2
il mio primo pensiero è infatti stato quello di fare
ip nat inside static 172.16.0.2 ip_pub225
ip nat inside static 172.16.0.2 ip_pub226
ip nat inside static 172.16.0.2 ip_pub227
ip nat inside static 172.16.0.2 ip_pub228
...


Ma non mi permette di replicarlo.
Sto sicuramente sbagliando sul router, e il motivo è più che ovvio...so dare solo comandi sempliciotti seguendo le varie guide.
Qualcuno mi da una mano a configurare correttamente questo CISCO?
Io comunque voglio arrivare a quello che mi hai detto te, cioè un router trasparente, a qualunque indirizzo ip_pub le richieste devono passare il router e arrivare sul firewall...sarà lui dopo a gestirle. Giusto?!


Grazie ciao a presto