CCIE.pl

site 4 CCIE wannabies
Dzisiaj jest 11 gru 2017, 08:41

Strefa czasowa UTC+01:00




Nowy temat  Odpowiedz w temacie  [ Posty: 12 ] 
Autor Wiadomość
Post #1 : 26 wrz 2017, 08:16 
Offline
wannabe
wannabe

Rejestracja: 16 maja 2014, 18:35
Posty: 141
Czesc, Probuje skonfigurowac otwarcie portow oparte na adresie zrodlowym na moim labowym ASA. Mam zwykly nat inside,outside overload na interfejs zewnetrzny do polaczen wychodzacych i chcialbym otworzyc porty tylko jesli polaczenie przychodzi z okreslonego adresu publicznego.
Probowalem tak:
nat (outside,inside) source static Public_IP Public_IP destination static interface KOMPUTER_LAN service RDP RDP


Ale niestety nie dziala.. :?


Na górę
Post #2 : 26 wrz 2017, 12:31 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 16 lis 2004, 13:55
Posty: 1793
Lokalizacja: Edinburgh
Zobacz np. tutaj

https://supportforums.cisco.com/t5/fire ... -p/2009898

a kto moze sie tam dostac z zewnatrz ustawiasz na access liscie.

_________________
Jeden konfig wart więcej niż tysiąc słów


Na górę
Post #3 : 26 wrz 2017, 12:35 
Offline
wannabe
wannabe

Rejestracja: 16 maja 2014, 18:35
Posty: 141
No wlasnie to nie jest to bo ja chce zeby nat byl tylko na podstawie jednego source IP, a nie kazdego dowolnego.


Na górę
Post #4 : 27 wrz 2017, 08:31 
Offline
CCIE
CCIE
Awatar użytkownika

Rejestracja: 06 maja 2005, 01:32
Posty: 1388
Lokalizacja: Dortmund, DE
Cytuj:
No wlasnie to nie jest to bo ja chce zeby nat byl tylko na podstawie jednego source IP, a nie kazdego dowolnego.
Niestety, ASA takich wymyslnych rzeczy nie umie ;) Przykladowe konfiguracje NAT znajdziesz np tu: https://www.cisco.com/c/en/us/support/d ... sa-00.html

Pozdruffka!

_________________
Never stop exploring :)


Na górę
Post #5 : 27 wrz 2017, 08:44 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 28 paź 2008, 12:24
Posty: 250
Pewnie chodzi o Policy Based Forwarding (lub coś w tym stylu)?


Na górę
Post #6 : 27 wrz 2017, 08:56 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 02 sie 2009, 15:23
Posty: 113
Cześć,

Nie mam doświadczenia z ASĄ, ale ogólnie rzecz biorąc ja bym do tego podszedł inaczej. Nie próbował robić "port forwardingu tylko dla ruchu z konkretnego adresu", bo tak, jak się to na routerach robi, to port forwarding jest tylko powiązaniem konkretnego portu na adresie publicznym urządzenia natującego z konkretnym portem na adresie prywatnym urządzenia wewnątrz sieci i tutaj nie ma miejsca na weryfikację kto się będzie łączył do tego portu na adres publiczny. Ja bym spróbował podejść tak, że zrobił normalny port forwarding, a próbował ograniczyć kto ma dostęp do tego portu przy pomocy jakiejś access-listy. Czyli dwa mechanizmy - NAT forwarduje, a ACL pilnuje kto się łączy i wpuszcza tylko jednego. Może coś w ten deseń?

Pozdrawiam!

JD


Na górę
Post #7 : 27 wrz 2017, 09:04 
Offline
CCIE
CCIE
Awatar użytkownika

Rejestracja: 06 maja 2005, 01:32
Posty: 1388
Lokalizacja: Dortmund, DE
Cytuj:
Cześć,

Nie mam doświadczenia z ASĄ, ale ogólnie rzecz biorąc ja bym do tego podszedł inaczej. Nie próbował robić "port forwardingu tylko dla ruchu z konkretnego adresu", bo tak, jak się to na routerach robi, to port forwarding jest tylko powiązaniem konkretnego portu na adresie publicznym urządzenia natującego z konkretnym portem na adresie prywatnym urządzenia wewnątrz sieci i tutaj nie ma miejsca na weryfikację kto się będzie łączył do tego portu na adres publiczny. Ja bym spróbował podejść tak, że zrobił normalny port forwarding, a próbował ograniczyć kto ma dostęp do tego portu przy pomocy jakiejś access-listy. Czyli dwa mechanizmy - NAT forwarduje, a ACL pilnuje kto się łączy i wpuszcza tylko jednego. Może coś w ten deseń?

Pozdrawiam!

JD
Dokladnie tak to sie robi ;)

_________________
Never stop exploring :)


Na górę
Post #8 : 27 wrz 2017, 09:39 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 28 paź 2008, 12:24
Posty: 250
Cytuj:
Cześć,

Nie mam doświadczenia z ASĄ, ale ogólnie rzecz biorąc ja bym do tego podszedł inaczej. Nie próbował robić "port forwardingu tylko dla ruchu z konkretnego adresu", bo tak, jak się to na routerach robi, to port forwarding jest tylko powiązaniem konkretnego portu na adresie publicznym urządzenia natującego z konkretnym portem na adresie prywatnym urządzenia wewnątrz sieci i tutaj nie ma miejsca na weryfikację kto się będzie łączył do tego portu na adres publiczny. Ja bym spróbował podejść tak, że zrobił normalny port forwarding, a próbował ograniczyć kto ma dostęp do tego portu przy pomocy jakiejś access-listy. Czyli dwa mechanizmy - NAT forwarduje, a ACL pilnuje kto się łączy i wpuszcza tylko jednego. Może coś w ten deseń?

Pozdrawiam!

JD
Chyba, że chodzi o to, że na jednym porcie zewnętrznym chce różne hosty źródłowe forwardować do różnych hostów i portów wewnątrz sieci?


Na górę
Post #9 : 27 wrz 2017, 10:06 
Offline
wannabe
wannabe

Rejestracja: 16 maja 2014, 18:35
Posty: 141
Dokladnie o to chodzi, chcia rozne host zrodlowe do roznych portow wewnatrz sieci majac tylko jeden port. I wlasnie doszedlem do tego ze ta regula dziala, wczesniej blokowala go access lista (dzieki Cisco za packet -tracer). Czyli dla kogos kto bedzie potrzebowal na przyszlosc takiego NAT'u, ta konfiguracja dziala pieknie :D
Kod:
nat (outside,inside) source static Public_IP Public_IP destination static interface KOMPUTER_LAN service RDP RDP 


Na górę
Post #10 : 09 paź 2017, 09:02 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 02 sie 2009, 15:23
Posty: 113
Pozwólcie, że wrócę do tematu, bo mnie zaintrygował. Mówisz, że da się zrobić tak, aby na jednym adresie IP publicznym wystawić jeden port i żeby połączenia na ten port były przekierowywane do różych hostów prywatnych na różne porty w zależności od tego jaki publiczny adres IP będzie nawiązywał to połączenie? Czy zbyt mnie fantazja poniosła?

Jeśli jednak da się tak zrobić, to czy mógłbyś przytoczyć dokładną składnię dla jakiegoś konkretnego przykładu, bo trochę nie łapię tego polecenia, które napisałeś (konkretnie to części "...Public_IP Public_IP...").

Pozdrawiam!

JD


Na górę
Post #11 : 09 paź 2017, 10:42 
Offline
wannabe
wannabe

Rejestracja: 16 maja 2014, 18:35
Posty: 141
Siemka, dokladnie tak jak mowisz. U mnie w pracy jest duzo firewalli opartych na linuxie i taki port forwarding jest czesto stosowany dla serwerow.

Mamy zalozmy jeden publinczy IP i jeden port np RDP (3389) i pare serwerow za firewallem i zaleznie od zrodlowego IP mozna otwierac porty (unixowy DNAT destination NAT)

Mam 5 serwerow w LANIE i jeden publiczny IP i port 3389 mozna uzyc piec razy jesli tylko zrodlowy IP bedzie inny.
Kod:
nat (outside,inside) source static Public_IP Public_IP destination static interface KOMPUTER_LAN service RDP RDP 
Public_IP object network dla publicznego zrodlowego IP
KOMPUTER_LAN object network dla komputera w LAN
RDP object service dla 3389

czyli mozna rozumiec tak ze 'nat zewnatrz -> wewnatrz -> przekieruj publiczny przychodzacy IP na publiczny przychodzacy (czyli nie rob nic) kiedy destination IP jest interfejs zewnetrzny przekieruj na IP komputera i port zrodlowy RDP przekieruj na RDP (czyli nie rob nic cos jak no nat dla IPSEC)

linuxowy odpowiednik:
iptables -A PREROUTING -p tcp -s 8.8.8.8 -d 9.9.9.9 --dport 3389 -j DNAT --to-destination 192.168.1.10


Na górę
Post #12 : 13 paź 2017, 09:24 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 02 sie 2009, 15:23
Posty: 113
OK. Chyba rozumiem. To jest jedna komenda dla jednego prywatnego kompa. Jeśli chciałbym teraz ten sam port tego samego mojego adresu publicznego przekierować do innego kompa wewnąrz LAN gdy połączy się inny publiczny IP, to po prostu dopisuję kolejną komendę, w której zmieniam Public_IP łączącego się i KOMPUTER_LAN - mój adres IP publiczny oraz port pozostają takie same. I dalej mogę 50 takich komend nastukać. Dobrze rozumiem?

JD


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie  [ Posty: 12 ] 

Strefa czasowa UTC+01:00


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Technologię dostarcza phpBB® Forum Software © phpBB Limited
Polski pakiet językowy dostarcza phpBB.pl