PDA

Visualizza la versione completa : Come settare il router cisco in modo trasparente


Anuelicon
12-03-2008, 17:24
Ciao ragazzi, non so i comandi e su internet, o sbaglio le parole per ricercare quello che voglio ottenere oppure la documentazione scarseggia per questo tipo di scenario.

1 ip pubblico LINK TO ISP
8 ip pubblici assegnati alla linea HDSL da ip_pub225 a ip_pub230 utilizzabili.

ISP ---ROUTER CISCO1841 --- FIREWALL

FIREWALL
|------------DMZ (10.1.2.0/24)
|------LAN (192.168.1.0/24)


ROUTER e FIREWALL connessi direttamente tra loro sono nella rete 172.16.0.0/24
in particolare la FastEthernet0/1 ha 172.16.0.1
mentre il firewall:
eth0: 172.16.0.2
eth1: 10.1.2.1
eth2: 192.168.1.1

Al firewall ho anche già assegnato degli ALIAS IP ip_pub225...ecc.ecc fino a ip_pub229

Il mio obbiettivo è semplice, voglio che tutte le richieste fatte verso qualunque ip_pubXXX
attraversino tranuillamente il router e vengano genstite dal firewall.

al momento ho fatto sul router un
ip nat inside static 172.16.0.2 ip_pub230

dall'esterno ip_pub130 viene gestito dal firewall che infatti, tramite port forward va sul server web giusto. Ovviamente anche il ping dall'esterno funziona.

Tutti gli altri ip_pub non funzionano e il router non mi lascia fare altri nat sullo stesso indirizzo
inoltre se faccio un ping ip_pub225 mi risponde l'ip pubblico del LINK TO ISP
"TTL scaduto surante il passaggio"

:dhò:

eth0
12-03-2008, 21:36
mmm...tu vuoi che il tuo server venga nattato con ognuno degli 8 ip_pub?
esempio:
ippub1_server
ippub2_server
...

non ho ben capito il problema

Anuelicon
12-03-2008, 22:14
No no,non con ogni ippubblico, diciamo che una volta che riesco ad arrivare a far gestire tutto al firewall dovrei essere a posto, comunque la configurazione tipo sarebbe questa...in dmz:

ip_pub230:80 --> Server1 :80
ip_pub229:80 --> Server2 :80
ip_pub229:25 --> Server2 :25
ip_pub228:3389 --> Server3 :3389

vorrei "associare" un indirizzo ip pubblico a ciascun server in dmz senza però assegnare l'ip pubblico direttamente all'interfaccia di rete del server ma facendo port forward sul firewall e mantenendo gli ip privati del parco server.

Ad esempio adesso c'è un nat sul router
ip nat inside static 172.16.0.2 ip_pub230

sul firewall c'è un port forward ip_pub230(def):80 10.1.2.10:80

dall'esterno, http://ip_pub230 e mi risponde apache sul server 10.1.2.10

come faccio adesso a far si che http://ip_pub228 mi risponda apache che c'è invece sul 10.1.2.20 ???
Alias ip sul firewall non bastano.
Spero di essere stato un po più chiaro ma se hai bisogno di chiarimenti sono qui...
grazie
ciao

eth0
12-03-2008, 22:39
Ora è più chiaro, grazie.
Sarà che stasera sono stanchino ma...non basterebbe fare una NAT per ogni indirizzo?? Intendo..se vuoi far gestire tutto al firewall, le nat dovresti farle SUL firewall e poi sarà lui a instradare tutto al router.

con questa: ip nat inside static 172.16.0.2 ip_pub230 natti fuori il firewall in sostanza..

scusa ma che firewall è?

Anuelicon
13-03-2008, 08:56
Il firewall è una macchina con linux (ipcop) e 3 schede di rete.

Ho pensato di fare il NAT sul router per ogni indirizzo pubblico ma non me lo lascia fare...andreabbe fatto nat sull'indirizzo ip privato del firewall (l'unico connesso al router)
tipo:

ip nat inside static 172.16.0.2 ip_pub230

ip nat inside static 172.16.0.2 ip_pub225
ip nat inside static 172.16.0.2 ip_pub226
ip nat inside static 172.16.0.2 ip_pub227
ip nat inside static 172.16.0.2 ip_pub228
ip nat inside static 172.16.0.2 ip_pub229

Ma così non va bene, al secondo mi da errore, non posso replicarlo perchè 172.16.0.2 è già in uso.
In questo modo ip_pub230 dall'esterno funziona benissimo, e ho potuto già constatare che il firewall dirireziona correttamente le richieste su porte diverse.

E' proprio il NAT sul router che penso sia sbagliata come soluzione!!

Anuelicon
13-03-2008, 13:20
Nessuno ha voglia di aiutarmi?
Ammetto di non essere in grado di configurarlo in autonomia ma non mi sembra nemmeno che sia una configurazione particolare...mi sembra abbastanza standard, chissà quanti di voi l'hanno configurato così.
Non potete anche solo postare qualche istruzione, ci penso io dopo a studiarmela.

Loading