[Linux-Biella] OT: Cisco PIX 501

[LeOS]

On Tue, 30 Mar 2004 18:00:11 +0200
FEde Villa <villinux@email.it> wrote:

> Ho provato a fare quello che mi hai detto tu, ma non funzia.
> La situazione prima che arrivasse il firewall era che il router DSL
> aveva indirizzo 192.168.1.1 e la rete era 192.168.1.x (molto

ok

> semplice). Ora che e` arrivato il firewall, alla sua interfaccia
> esterna vorrei assegnargli 192.168.1.2 (per comunicare col router
> DLS), mentre all'interfaccia interna 192.168.2.1 e
> quindi cambiero` la classe di rete in 192.168.2.x
> (sotto ho fatto lo schema)
> Giusto?

giusto teoricamente
nei termini
solitamente un firewall di frontend sta in frontend :)
ovvero
un firewall teoricamente se ne sta bello bello sulla pubblica e provvede
a filtrare i pacchetti destinate alle macchine in dmz ed allo stesso
tempo garantire l'uscita dei pacchetti delle macchine interne

questa e' la teoria

la situazione che hai davanti e' di un firewall (che a questo punto non
capisco a cosa possa servire) gia' su una classe privata quindi ti
troverai a dover realizzare un doppio nat:

(INTERNET) --- ROUTER --- FW --- (LAN)

non vedo l'utilita ma soprattutto le prestazioni di una architettura di
questo tipo che avrebbe senso se tu dovessi proteggere accessi tra varie
lan, come ad esempio una dmz privata dove ad esempio gira un database
interrogato da un web server nattato sulla pubblica

> cacchio a volte non va e avolte si impalla) per far uscire i client
> della rete per navigare in internet e spedire/ricevere posta
> (piu` naturalmente gli altri servizi necessari, tipo ftp, dns, ...)?

beh per fare uscire i client devi innanzitutto dire al tuo fw di routare
tutto il traffico verso il gw ovvero l'ip del router dsl

ip route 0.0.0.0 0.0.0.0 192.168.1.1

dopodiche realizzarti un simpatico nat sulla falsariga:

interface ethernet0
 description verso rete interna
 ip address 192.168.2.1 netmask 255.255.255.0
 ip nat inside
 hold-queue 100 out
!

interface ethernet1
 description verso router
 ip address 192.168.1.2 netmask 255.255.255.0
 ip nat outside
!

ed in globale metti:
ip nat inside source list 1 interface ethernet 1 overload
access-list 1 permit 192.168.2.0 0.0.0.255

non lasciarti ingannare dalla wildcard, cisco nelle acl funziona cosi':
255-byte
quindi quella equivale ad una mask 255.255.255.0

potrebbe pure funzionare, non so l'ho buttato giu di getto

fammi sape':)



-- 

main(){int n=-1;char c[]="qiruAbhjrc)fbfln#]g";
while(c[n]!='g'){putchar(c[++n]-'\05'+n);}return 0;}


Linux Registered User #135079

public gpg key: gpg --keyserver pgp.mit.edu --recv-key 2ED92C69