Port Forwarding ostico

senyek00 · 23-10-2011, 10:24

Salve a tutti,
ho un webserver dietro a un router cisco soho 97, siamo nella rete 192.168.1.0/24, ho spostato il server http del router sulla porta 8080 e ho configurato il router per fare i forwarding della porta ottanta sull'host 192.168.1.10 con il comando "ip nat inside source static tcp 192.168.1.10 80 interface Dialer0 80".
Tuttavia il router continua a non forwardare, dall'esterno non riesco a vedere il webserver interno.
Ho pensato che ci possa essere qualche deny implicito che non ricordo ma nonostante qualche prova ancora non funziona. Vi allego la mia configurazione occultando i dati sensibili.
Spero che mi possiate aiutare. Vi ringrazio anticipatamente.

!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco
!
boot-start-marker
boot-end-marker
!
enable secret 5 *******************
!
ip subnet-zero
!
!
ip name-server 213.205.32.70
ip name-server 213.205.36.70
no aaa new-model
!
!
!
!
!
!
!
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
ip nat inside
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 101
!
!
interface Dialer0
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 101
ppp authentication chap callin
ppp chap hostname ***************
ppp chap password 0 **************
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip http server
ip http port 8080
no ip http secure-server
!
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.10 80 interface Dialer0 80
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 permit ip any 192.168.1.0 0.0.0.255
dialer-list 101 protocol ip permit
!
control-plane
!
!
line con 0
password *************
login
no modem enable
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
password *************
login
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
end

nuovoUtente86 · 23-10-2011, 12:00

manca la definizione dei ruoli delle interfacce, inoltre devi spostare il forward a livello ip, sulla interfaccia pubblica.

senyek00 · 23-10-2011, 16:14

Quote:

Originariamente inviato da nuovoUtente86

manca la definizione dei ruoli delle interfacce, inoltre devi spostare il forward a livello ip, sulla interfaccia pubblica.

Ti ringrazio molto per la risposta....non riesco a capire cosa intendi con i ruoli delle interfacce...potresti spiegarmi meglio?

nuovoUtente86 · 23-10-2011, 16:27

devi dare sull' interfaccia wan il comando "ip nat outside" e sulla lan "ip nat inside", altrimenti i comandi di nat specifici restano senza scope.

senyek00 · 23-10-2011, 16:53

Quote:

Originariamente inviato da nuovoUtente86

devi dare sull' interfaccia wan il comando "ip nat outside" e sulla lan "ip nat inside", altrimenti i comandi di nat specifici restano senza scope.

scusami ma, se vedi nella configurazione che ho postato i ruoli sono già stati definiti:
------------------------------
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
ip nat inside
hold-queue 100 out
------------------------------
interface Dialer0
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 101
ppp authentication chap callin
ppp chap hostname ***************
ppp chap password 0 **************
-----------------------------

Poi...per quanto riguarda portare il forwarding a livello IP, come dovrei fare? Cioè...io non posso specificare l'ip pubblico in quanto sono in "overload" con un ip dinamico tra l'altro....quindi se guardi la configurazione vedrai che a livello IP, inteso come IP privato ho indicato il webserver (192.168.1.10), e come uscita ho indicato l'interfaccia Dialer0 in quanto l'ip cambierà con una disconnessione....hai qualche altro suggerimento?

nuovoUtente86 · 23-10-2011, 17:33

Ok, non ho fatto attenzione alla configurazione, ma abbiamo escluso il primo problema macroscopico che genera il malfunzionamento che lamenti.
Prova a fare delle prove e a controllare i log di natting, per vedere cosa succede.

senyek00 · 23-10-2011, 17:51

ho notato quanto segue dando "show ip nat translations":

pro Inside global Inside local Outside local Outside global
tcp 84.222.108.87:80 192.168.1.10:80 --- ---

mentre tutti gli altri nat translations hanno l'ip globale esterno questo non ce l'ha...credi che possa essere un fatto importante?

nuovoUtente86 · 23-10-2011, 18:48

è normale che ci sia, ma devi postare tutto il log

23-10-2011, 10:24	#1
senyek00 Junior Member Iscritto dal: Oct 2011 Messaggi: 4	Port Forwarding ostico Salve a tutti, ho un webserver dietro a un router cisco soho 97, siamo nella rete 192.168.1.0/24, ho spostato il server http del router sulla porta 8080 e ho configurato il router per fare i forwarding della porta ottanta sull'host 192.168.1.10 con il comando "ip nat inside source static tcp 192.168.1.10 80 interface Dialer0 80". Tuttavia il router continua a non forwardare, dall'esterno non riesco a vedere il webserver interno. Ho pensato che ci possa essere qualche deny implicito che non ricordo ma nonostante qualche prova ancora non funziona. Vi allego la mia configurazione occultando i dati sensibili. Spero che mi possiate aiutare. Vi ringrazio anticipatamente. ! version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname cisco ! boot-start-marker boot-end-marker ! enable secret 5 ***************** ! ip subnet-zero ! ! ip name-server 213.205.32.70 ip name-server 213.205.36.70 no aaa new-model ! ! ! ! ! ! ! interface Ethernet0 ip address 192.168.1.1 255.255.255.0 ip nat inside hold-queue 100 out ! interface ATM0 no ip address no atm ilmi-keepalive dsl operating-mode auto pvc 8/35 encapsulation aal5mux ppp dialer dialer pool-member 101 ! ! interface Dialer0 ip address negotiated ip nat outside encapsulation ppp dialer pool 101 ppp authentication chap callin ppp chap hostname *********** ppp chap password 0 ********** ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer0 ip http server ip http port 8080 no ip http secure-server ! ip nat inside source list 101 interface Dialer0 overload ip nat inside source static tcp 192.168.1.10 80 interface Dialer0 80 ! access-list 101 permit ip 192.168.1.0 0.0.0.255 any access-list 101 permit ip any 192.168.1.0 0.0.0.255 dialer-list 101 protocol ip permit ! control-plane ! ! line con 0 password ********* login no modem enable transport preferred all transport output all line aux 0 transport preferred all transport output all line vty 0 4 password *********** login transport preferred all transport input all transport output all ! scheduler max-task-time 5000 end

23-10-2011, 12:00	#2
nuovoUtente86 Senior Member Iscritto dal: Mar 2007 Messaggi: 7863	manca la definizione dei ruoli delle interfacce, inoltre devi spostare il forward a livello ip, sulla interfaccia pubblica. Ultima modifica di nuovoUtente86 : 23-10-2011 alle 12:03.

23-10-2011, 17:51	#7
senyek00 Junior Member Iscritto dal: Oct 2011 Messaggi: 4	Show ip nat translations ho notato quanto segue dando "show ip nat translations": pro Inside global Inside local Outside local Outside global tcp 84.222.108.87:80 192.168.1.10:80 --- --- mentre tutti gli altri nat translations hanno l'ip globale esterno questo non ce l'ha...credi che possa essere un fatto importante?

23-10-2011, 16:27	#4
nuovoUtente86 Senior Member Iscritto dal: Mar 2007 Messaggi: 7863	devi dare sull' interfaccia wan il comando "ip nat outside" e sulla lan "ip nat inside", altrimenti i comandi di nat specifici restano senza scope.

23-10-2011, 17:33	#6
nuovoUtente86 Senior Member Iscritto dal: Mar 2007 Messaggi: 7863	Ok, non ho fatto attenzione alla configurazione, ma abbiamo escluso il primo problema macroscopico che genera il malfunzionamento che lamenti. Prova a fare delle prove e a controllare i log di natting, per vedere cosa succede.

23-10-2011, 18:48	#8
nuovoUtente86 Senior Member Iscritto dal: Mar 2007 Messaggi: 7863	è normale che ci sia, ma devi postare tutto il log

Strumenti
Mostra una versione stampabile Invia questa pagina per email