PDA

Visualizza la versione completa : Router Cisco e Nat


fox80129
24-04-2004, 12:52
Ho installato diversi programmi (tra cui un server ftp e vnl) che si interfacciano alla rete esterna.
Visto che nessuno dei due funziona dall'esterno ho provato innanzitutto a disattivare il firewall...ma continuavano a non funzionare.
Poi ho tentato di configurare il nat che poteva essere l'unico problema rimasto.
Premetto che ho un router cisco 827...dopo aver configurato il nat sulla porta 21 ho eseguito il comando:

show ip nat trans

ed ho notato una cosa strana:
Pro Inside global : tcp 81.117.213.xxx :45152
Inside local: 10.10.10.100:45152
Outside local: 62.4.10.52:80
Outside global: 62.4.10.52:80

Questa ad esempio è la configurazione nat della porta 80

Pro Inside global : tcp 81.117.213.xxx:21
Inside local: 10.10.10.100:21
Outside local: ---
Outside global: ---

Mentre questa è quella della porta 21
Devo forse anche configurare l'outside local and global???

Ho provato a fare anche un port scanning ma la porta 21 risulta chiusa.

Caleb
24-04-2004, 13:11
ho fatto una ricerca guarda se ti aiuta

http://forum.html.it/forum/showthread.php?s=&threadid=627790

Pyron83
24-04-2004, 13:16
guarda che l'output di 'sh ip nat tra' in realtà mostra le traslazioni in quel momento attive, quella traslazione
Pro Inside global : tcp 81.117.213.xxx :45152 Inside local: 10.10.10.100:45152 Outside local: 62.4.10.52:80 Outside global: 62.4.10.52:80 semplicemente sta a indicare che l'host 10.10.10.100 ha fatto richiesta di connettersi alla porta 80 dell'host 62.4.10.52 (www, forse navigavi?) e il router l'ha nattato col suo ip pubblico (81.117.213.xxx) sulla stessa porta dalla quale ha originato la richiesta il client 10.10.10.100 (appunto la 45152).

non c'entra nulla colla config del nat da te impostata, questò è semplicemente l'overload, che viene usato in uscita per nattare con un solo ip pubblici vari ip privati.

cmq era meglio se postavi la config (epurata di password varie) cosi si correggeva quella.


cmq presumo tu sappia:
*per nattare in overload: ip nat inside source list X interface interfaccia_di_uscita (di solito dialer X o atmX.X) overload; dove X di source list è un access-list che definisce che ip privati nattare
*per nattare staticamente una porta da ip privato a pubblico: ip nat inside source static PROTOCOOLLO IP_PRIVATO (PORTA) IP_PUBBLICO-O-INTERFACCIA_DI_USCITA (PORTA)
*infine visto che dici di aver nattato correttamente la porta, ma risulta chiusa, presumo che ci sia un access-list in entrata dove dovresti permettere quel tipo di traffico (sintassi: access-list XXX permit...)



PS: per curiosità, il router lo stai configurando via linea di comando, VERO?

fox80129
24-04-2004, 14:13
Ok...avevo utilizzato la seguente sintassi:
ip nat inside source static tcp 92.168.10.200 21 81.117.213.xxx 21
Ovviamente da telnet.
Potresti spegarmi come controllare e modificare l'access list

Devo postare la config che ottengo digitando show config???

fox80129
24-04-2004, 15:51
Ho ricontrollato le transazioni del nat quando la rete non era assolutamente utilizzate e mi ha riportato questo risultato:


Pro Inside global Inside local Outside local Outside global
tcp 81.117.213.xxx:5631 10.10.10.100:5631 --- ---
tcp 81.117.213.xxx:5632 10.10.10.100:5632 --- ---
tcp 81.117.213.xxx:21 10.10.10.100:21 --- ---
tcp 81.117.213.xxx:25 10.10.10.100:25 --- ---
tcp 81.117.213.xxx:80 10.10.10.100:80 --- ---
tcp 81.117.213.xxx:110 10.10.10.100:110 --- ---

Quindi la porta 21 sembrerebbe nattata.

Inoltre ho provato a connettermi via browser all'ftp e ottengo il seguente risultato:

Pro:tcp Inside global:81.117.213.xxx:21Inside local:10.10.10.100:21 Outside local:82.84.65.xx:3550 Outside: 82.84.65.xx:3550

Pyron83
24-04-2004, 17:47
Originariamente inviato da fox80129
Devo postare la config che ottengo digitando show config???

si


per le access-list: http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5b9a.shtml

fox80129
24-04-2004, 20:27
Using 2000 out of 131072 bytes
!
version 12.1
no service single-slot-reload-enable
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
no logging buffered
logging rate-limit console 10 except errors
enable secret 5 $1$S1el$kE/3J2t/o.MLHLOt9Nkzk/
!

Seguono le password.

Ho eseguito il comando show access-list e mi da:
Extended IP access list 102
permit ip 10.10.10.0.0.0.0.255 any

Forse devo eseguire il comando "access-list 102 permit tcp any any eq 21"?

Boromir
24-04-2004, 22:12
ciao ,
a questo punto non mi è chiaro esattamente il tuo traguardo !
Devi configurare nat, fare un port forwarding o altro ?
fai show running config e postalo , come detto prima : epurato dalle varie password e ip pubblici !

fox80129
25-04-2004, 10:00
La config sta nel post precedente...il problema è che anche avendo disabilitato il firewall e nattato le porte che mi interessavano (21 e 5900) non riesco a connettermi.L'FTP ad esempio va in time out.
In effetti quando faccio una connessione alla porta 21 ,ad esempio il router visualizza anche questo tentativo di connessione nello show ip nat trans.
Quindi,come aveva detto Pyron83 prima, potrebbe essere un problema di ACL.
Non sono però sicuro di come vadano configurate.
:ciauz:

Pyron83
25-04-2004, 11:07
Originariamente inviato da fox80129
Using 2000 out of 131072 bytes
!
version 12.1
no service single-slot-reload-enable
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
no logging buffered
logging rate-limit console 10 except errors
enable secret 5 $1$S1el$kE/3J2t/o.MLHLOt9Nkzk/
!

Seguono le password.




ciè praticamente hai postato solo la parte meno utile della configurazione, visto che dopo questa parte stanno anche le config di interfaccie, nat, access-list, accesso... -_- a parte le password e ip pubblici, potevi levarle e sostitutirle con dei caratteri a caso e postare il resto, no eh? :biifu:

Loading