Entra

View Full Version : Cisco 827 - IP pubblici - DMZ


jventure
18-01-2005, 10:28
Ciao a tutti....
ho:
1) router Cisco 827 IOS 12.1
2) connessione internet ADSL Telecom interbusiness
3) 8 indirizzi IP pubblici, il primo e l'ultimo sono rispettivamente rete e broadcast quindi utilizzabili solo 6
4) una rete DMZ con indirizzi IP privati: 10.1.0.0/24

problema:
se configuro ATM con gli indirizzi P2P per la connessione all'hotspot telecom, la scheda Eth0 con indirizzo IP pubblico, il client con un altro ip pubblico e gw l'ip della eth0 del router e una route statica dal tipo:
route 0.0.0.0 0.0.0.0 ATM0.1
navigo tranquillamente..ovviamente nn voglio mettere ip pubblici sui server nella dmz...
quindi pensavo di mettere tutti gli IP pubblici su una loopback creata nel router, (effettivamente da internet riesco a pingare questi ip sulla loop...) e un indirizzo privato sulla eth0, dai client riesco a pingare l'ip della eth0, l'ip della loop e l'ip interno dell'atm, ho configurato una nat mettendo l'atm e la eth0 come inside e la loop come outside, ho creato una regola di traduzione per cui l'indirizzo IP della eth0 viene tradotto in un indirizzo ip pubblico e viceversa, ho impostato la solita route
route 0.0.0.0 0.0.0.0 ATM0.1
ma non va :mc: :muro:

someone può aiutarmi, magari può postare un file di conf che possa funzionare e da cui io possa prendere spunto?? ;)

Grazie 1k
Xander

CH1CC0
18-01-2005, 14:55
Invece delle loopback, perché non crei:
a) un NAT statico

b) un rotary pool per il NAT

c) NAT statico per i server da "pubblicare" e NAT overload per i client che devono solo navigare

d) NAT statico per i server da pubblicare e NAT su ROTARY POOL per i client

caso a: i tuoi IP privati saranno sempre nattati allo stesso modo (con lo stesso IP pubblico), ma in questo modo restringi il numero di PC che possono navigare all'esterno...

caso b: gli IP privati verranno nattati con un IP pubblico scelto (il primo disponibile nella lista associata al POOL)

caso c: i tuoi server o comunque, tutte le macchine per cui ti serve una "pubblicazione ufficiale", avranno sempre lo stesso IP pubblico, mentre i client navigheranno tranquillamente con l'IP dell'interf. ATM (non funzioneranno molto bene programmi di p2p tipo emule & co.)

caso d: come sopra per i server ma i PC che devono navigare, invece di avere "delle porte di uno stesso IP pubblico", avranno un IP pubblico intero, scelto nella rosa degli IP del POOL (in questo modo, riduci il numero dei client che possono utilizzare internet CONTEMPORANEAMENTE, ma, in linea di max, tutti possono usare internet).

Nella mia rete, avendo a disposizione più IP di quanti me ne servissero in realtà, ho optato per l'opzione "a", vedi tu, quale preferisci.

Ciao