PDA

Visualizza la versione completa : Gestione NAT tra Zywall 35 e Router ADSL


Poker32
23-05-2006, 16:23
ciao, ho visto che state combattendo con questo firewall e vorrei farvi una domanda.

devo installare uno zywall35 per creare questa topologia:

Internet <-> [Router Adsl Cisco] <-> [Zywall35 Wan1] <-> [Switch Lan]
Internet <-> [Router Adsl Telindus] <-> [Zywall35 Wan2] <-> [Switch Lan]

Ancora non ho potuto provare ma leggendo sul manuale non sono riuscito a capire come configurare.

Ogni Router ha il suo IP Pub. e non ho a disposizione altri IP Pub.
Quindi sulle porte Lan dei Router e sulle Wan dello Zywall devo mettere IP Pub delle stesse classi:

Router Cisco 10.0.1.1/24 - Zywall35 Wan1 10.0.1.2/24
Router Telindus 10.0.2.1/24 - Zywall35 Wan2 10.0.2.2/24

Il mio dubbio sulla configurazione del NAT. Vorrei toccare il meno possiblie i due router.
1-posso configurare il firewall per non fare NAT e configurare solo il router per farlo?
2-sul sito zyxel c' un esempio che imposta il NAT sia sul Firewall che sul Router.

Quale soluzione mi consigliate?

seclimar
23-05-2006, 16:49
perche' stai mettendo i due firewall ?
non ti basta il router con il NAT e i firewalls interni ?

Poker32
23-05-2006, 17:12
forse non sono stato chiaro...

c' solo un firewall ma con due porte WAN

albgen
23-05-2006, 18:10
Originariamente inviato da Poker32
ciao, ho visto che state combattendo con questo firewall e vorrei farvi una domanda.

devo installare uno zywall35 per creare questa topologia:

Internet <-> [Router Adsl Cisco] <-> [Zywall35 Wan1] <-> [Switch Lan]
Internet <-> [Router Adsl Telindus] <-> [Zywall35 Wan2] <-> [Switch Lan]

Ancora non ho potuto provare ma leggendo sul manuale non sono riuscito a capire come configurare.

Ogni Router ha il suo IP Pub. e non ho a disposizione altri IP Pub.
Quindi sulle porte Lan dei Router e sulle Wan dello Zywall devo mettere IP Pub delle stesse classi:

Router Cisco 10.0.1.1/24 - Zywall35 Wan1 10.0.1.2/24
Router Telindus 10.0.2.1/24 - Zywall35 Wan2 10.0.2.2/24

Il mio dubbio sulla configurazione del NAT. Vorrei toccare il meno possiblie i due router.
1-posso configurare il firewall per non fare NAT e configurare solo il router per farlo?
2-sul sito zyxel c' un esempio che imposta il NAT sia sul Firewall che sul Router.

Quale soluzione mi consigliate?
1-credo che si pu fare, spegni i dhcp del zywall e utilizza quello del router quindi ti basta solo il nat del router e hai eliminato quello del zywall :ciauz:

Poker32
26-05-2006, 17:23
vorrei utilizzare il nat del fw per nattare un IP di una LAN su un IP della dmz.

ho visto sul manuale, ma sembra che il nat si possa fare solo sulle wan...

mi date conferma???

albgen
26-05-2006, 21:30
Originariamente inviato da Poker32
vorrei utilizzare il nat del fw per nattare un IP di una LAN su un IP della dmz.

ho visto sul manuale, ma sembra che il nat si possa fare solo sulle wan...

mi date conferma???
hai visto male.
non si capisce quello che vuoi fare. prima dici che vuoi usare solo 1 dhcp per eliminare di fare 2 volte nat poi dici che vuoi usare il fw perch hai una dmz all'interno della lan.
la dmz lo fai lo stesso anche se non c' il dhcp del fw, solo che devi dare ip statici(lo fa il router) al server in dmz...

Poker32
27-05-2006, 12:42
hai ragione, forse mi sono spiegato male...

il NAT che dicevo all'inizio mi serve per andare su internet.
Quindi alla fine penso proprio che si far sul router.
Entrambi i router avranno configurato il NAT con i loro IP pub.

Il sencondo problema, quello del NAT sul firewall, il seguente:
su questa LAN dove devo installare il FW, devo inserire anche un proxy per la navigazione web, situato nella DMZ (con IP privati).

Nelle macchine della LAN devo configurare il proxy con (IP o Hostname).
Volevo sapere se era possibile utilizzare la seguente configurazione:

DMZ: 10.10.10.0/24
LAN: 192.168.1.0/24

IP Proxy: 10.10.10.2
IP Client Lan: 192.168.1.1 -192.168.1.254

Vorrei settare sui client l'IP 192.168.1.254 come proxy e poi far nattare al firewall questo ip sul 10.10.10.2 della dmz che corrisponde al vero ip del proxy.

Tutto questo problema nasce dal fatto che il firwall non viene inserito subito nella LAN ma solo dopo qualche settimana. Quindi in un primo momento vorrei configurare il Proxy con IP 192.168.1.254 (e quindi anche i client) e dopo aver inserito il FW cambiare il tutto come spiegato prima senza dover intervenire sui client.

albgen
27-05-2006, 13:24
bel casino !
cmq, il nat lo fai con una regola many-to-one.
inserisci delle regole che bloccano tutto il traffico eccetto quello che va alla proxy.
perch hai messo il proxy nella dmz ? chi protegge il proxy da attacchi esterni ? :confused:

Poker32
27-05-2006, 13:33
si, non una vera e propria dmz, pi una lan dedicata ai server.
la porta del firewall sar per una lan non DMZ.

ma quindi il nat lo posso fare tra una lan e l'altra??

albgen
27-05-2006, 13:41
Originariamente inviato da Poker32
si, non una vera e propria dmz, pi una lan dedicata ai server.
la porta del firewall sar per una lan non DMZ.

ma quindi il nat lo posso fare tra una lan e l'altra??
certi che si pu fare, lo puoi fare quante volte vuoi(nel senso se hai tante sottoreti in cascata) !! se usi applicazioni voip all'interno della lan credo che avrai problemi.
paghi un po in termini di tempo in quanto si fa due volte il nat ma per la navigazione www non te ne accorgi ..

Loading