|
|||||||
|
|
|
 |
|
|
Strumenti |
22-02-2008, 08:52
|
#1 |
|
Junior Member
Iscritto dal: Jun 2007
Messaggi: 28
|
Vorrei una breve lezione su router (cisco) e firewall
Salve a tutti, vorrei chiarire con voi esperti alcuni concetti di rete sui router, i firewall e ip pubblici.
Poniamo questo scenario di riferimento, vorrei che mi correggeste se ritenete che sto sbagliando approccio...sono qui per imparare: 8 IP Pubblici assegnati alla linea HDSL a.b.c.224-a.b.c.231 255.255.255.248 Il router CISCO (1841 è quello su cui posso fare esperimenti) la seriale del router è il LINK ISP con un'altro IP PUBBLICO. L'ip pubblico del link con l'isp lo ignoro, il primo e l'ultimo a.b.c.224 e a.b.c.231 pure. La topologia sarebbe questa: ISP---Router---Firewall--- Dal Firewall si va alla DMZ (10.1.1.0/24) e alla LAN (192.168.1.0/24) L'ISP fa in modo che tutte le richieste inviate a QUALUNQUE dei 6 ip pubblici utilizzabili arrivi al router CISCO. Ora, non vorrei assegnare ip pubblici direttamente alle interfacce dei miei server in DMZ, vorrei che, ad esempio il web server del 10.1.1.5 risponda a a.b.c.226 mentre quello sul 10.1.1.6 risponda a a.b.c.227. Ho valutato questa possibilità ma credo che ce ne siano altre, ma il problema riscontrato sarà lo stesso... Assegnare un indirizzo privato anche nella rete Router-Firewall: FastEthernet Router 172.16.0.1 e WAN firewall 172.16.0.2. Ora, tutte le richieste su TUTTI gli ip pubblici devono essere gestiti sul firewall, giusto ?? Come faccio ?? Ho provato a dare questo comando al router, come da manuale: Configurazione di un NAT statico: tradurre un indirizzo privato in un indirizzo pubblico permanente: ip nat inside source static 172.16.0.2 a.b.c.225 avevo intenzione di farlo uguale per tutti... ip nat inside source static 172.16.0.2 a.b.c.225 ip nat inside source static 172.16.0.2 a.b.c.226 ip nat inside source static 172.16.0.2 a.b.c.227 ip nat inside source static 172.16.0.2 a.b.c.228 .... In modo che ad ogni richiesta venga interpellato il firewall, ma al primo invio, ho notato che la riga ip nat inside source static 172.16.0.2 a.b.c.225 non c'è nel running-config...non me l'ha preso, anche se non mi ha dato errore. Lo accetta solo se metto anche la porta e la subnet ma non è quello che voglio. Quindi sono fermo... Concettualmente sbaglio ?? E se non sbaglio come idea, cosa sbaglio nella pratica? Quali sono le mie alternative ?? Potrei assegnare il primo ip pubblico alla FastEthernet del router e il secondo ip pubblico alla wan del firewall. FastEthernet router a.b.c.225 WAN Firewall a.b.c.226 Così il firewall è in internet ma gestisce solo le richieste allo a.b.c.226 le richieste a a.b.c.227 228 229 230 continuano ad arrivare al router e allora sono al punto di partenza... Come firewall stavo pensando ad un server linux con 3 interfacce, magari endian o ipcop... Spero che mi aiutiate a capire come funziona e come bisogna affrontare questo lato del networking perchè mi sta confondendo un bel po. Grazie per l'aiuto... ciao
__________________
La fortuna favorisce la mente preparata |
|
|
|
22-02-2008, 11:31
|
#2 |
|
Senior Member
Iscritto dal: May 2001
Città: Palermo
Messaggi: 2546
|
ha dato poi il comand nella interfaccia eth "ip nat inside"
e nell'interfacci wan "ip nat outside"? dopo che crei le tabelle del nat statico devi dir al router da quali interfacce vuoi la traduzione.
__________________
a volte dorme più lo sveglio del dormiente. Certificazione CCNA 2006 e 2011uff che fatica!!! Ho concluso bene con: Verolenny x 1, HighvoltagE x7, Gatto77 x25,shojoman x1,Xeleven x2,Taddeo.2 x20, Sanfluis x1, Traxung x2, max299 x1, Correx x1, Sabru79 x4, mimmo1973 x1, GPL46 x1, Davide_845 x2, Creepring x1, S@ibbu x1 |
|
|
|
|
22-02-2008, 13:41
|
#3 |
|
Junior Member
Iscritto dal: Jun 2007
Messaggi: 28
|
C'era già dalla configurazione precedente...comunque confermo che Serial 0/0/0 ha ip nat outside e FastEthernet ha ip nat inside...
Quello che mi fa strano è che il comando non dia errore ma nel running-config non lo trovo da nessuna parte.
__________________
La fortuna favorisce la mente preparata |
|
|
|
|
22-02-2008, 14:38
|
#4 |
|
Senior Member
Iscritto dal: May 2001
Città: Palermo
Messaggi: 2546
|
sh ip nat static
che ti fa vedere?
__________________
a volte dorme più lo sveglio del dormiente. Certificazione CCNA 2006 e 2011uff che fatica!!! Ho concluso bene con: Verolenny x 1, HighvoltagE x7, Gatto77 x25,shojoman x1,Xeleven x2,Taddeo.2 x20, Sanfluis x1, Traxung x2, max299 x1, Correx x1, Sabru79 x4, mimmo1973 x1, GPL46 x1, Davide_845 x2, Creepring x1, S@ibbu x1 |
|
|
|
|
22-02-2008, 15:31
|
#5 |
|
Senior Member
Iscritto dal: Apr 2006
Città: Sydney - Hmetal up your ass!
Messaggi: 987
|
a mio avviso stai sbagliando l'assegnazione dei ruoli.
Il router di solito è usato SOLO come interfaccia che riesce a far parlare e mette in comunicazione quello che l'isp ti porta (fibra, adsl, cdn , quello che è) e la tua lan che usa ethernet. Il router ha questo ruolo. Quando hai anche un firewall dedicato, il router perde anche il ruolo di port forwarding e di colui che ti fa il nat. Il nat, il port forwarding, la dmz etc sono ruoli demandabili ad un unico apparecchio che è il firewall. Mischiare tali ruoli su diversi apparati genera difficoltà di gestione e in generale, confusione. Per cui secondo me, o meglio, io gestirei la cosa cosi (anzi gestisco sempre la cosa cosi  ):- il router fa solo da transceiver tra quello che ti arriva dall'isp (fà parlare quindi una fibra ad esempio con l'ethernet) ruotando tra il pool pubblico assegnato e il peer to peer tra questo router e il router dell'isp remoto. Niente nat, niente port forward, niente regole. Tutto aperto. Con gli ip pubblici lato lan. - il firewall invece avrà il ruolo di nattare il traffico, pubblicare i servizi attraverso i port forward, fare le nat 1:1, gestire il traffico per la dmz, gestire il traffico tra la dmz e la lan. Quindi io sposterei la gestione della tua nat 1:1 sul firewall anziche gestirlo sul router. Ciao
__________________
...e poi i sistemi informativi sono come le donne, se hanno esperienza è meglio [cit] Il mio blog: thekangarootamer.wordpress.com "Già solo il fatto che tu sia indeciso sul da farsi è grave, sei un debole e quindi un sonaro..." [cit] 
|
|
|
|
|
11-03-2008, 17:05
|
#6 |
|
Junior Member
Iscritto dal: Jun 2007
Messaggi: 28
|
Ciao, credo di aver capito cosa intendi, il problema è che credo di sbagliare qualcosa perchè comunque continuo a fare nat, anzi adesso non li posso più nemmeno fare....mi spiego meglio perchè è un po contorto.
Ho assegnato al router 172.16.0.1 la ethernet del firewall direttamente attaccata all'interfaccia del router: 172.16.0.2 i miei indirizzi pubblici sono dal ip_pub225 al ip_pub230 utilizzabili. Sul router ho fatto un ip nat inside static 172.16.0.2 ip_pub_230 Sul firewall ho settato 5 Alias IP: ip_pub225 ip_pub226 ip_pub227 ip_pub228 ip_pub229 Ora, dall'esterno, l'ip_pub230 è perfettamente gestito dal firewall che forwarda su una macchina in dmz a seconda delle porte... Io però volevo far gestire al firewall tutti gli ip_pub, però il router non mi permette di fare altri nat sul 172.16.0.2 il mio primo pensiero è infatti stato quello di fare ip nat inside static 172.16.0.2 ip_pub225 ip nat inside static 172.16.0.2 ip_pub226 ip nat inside static 172.16.0.2 ip_pub227 ip nat inside static 172.16.0.2 ip_pub228 ... Ma non mi permette di replicarlo. Sto sicuramente sbagliando sul router, e il motivo è più che ovvio...so dare solo comandi sempliciotti seguendo le varie guide. Qualcuno mi da una mano a configurare correttamente questo CISCO? Io comunque voglio arrivare a quello che mi hai detto te, cioè un router trasparente, a qualunque indirizzo ip_pub le richieste devono passare il router e arrivare sul firewall...sarà lui dopo a gestirle. Giusto?! Grazie ciao a presto
__________________
La fortuna favorisce la mente preparata Ultima modifica di anuelicon : 11-03-2008 alle 17:09. |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 10:25.
