cisco Port Mapping & co.

[rhavel]

Hi all,

Ich habe da eine Frage bzgl. Portmapping auf Cisco-geräten und wollte euch diese nicht Vorenthalten *g*

Im Moment verwende ich einen Bintec X2250 Router, welcher durch ein "policy-based" (abarbeiten einer Liste, in diesem Fall) die einzellnen eingehenden Ports den richtigen Interfaces/IP Adressen anspricht, dh es sieht ca wie folgt aus

bintec router erhält eine html Anfrage (port 80) und hat in der Config eine Liste mit Portnummern und die zu routende IP-Adresse gegeben:

23: 10.0.10.x
80: 10.0.10.y
any: 10.0.10.z (welcher dann die weiter auswahl trifft)

Jetzt wollte ich mich erkundigen, ob es so einen Weg auch auf Cisco-Routern gibt, da unser guter "alter" Bintec durch eine unfreiwillig erzeugte Überspannung (blitzschlag) den Geist aufgegeben hat. Und wenn ja wie würde man dies erreichen können (nat sollte ja praktisch eingeschaltet sein).

Ich interessiere mich für folgendes Produkt Cisco-871 Folgende Services sollten auf unterschiedliche Rechner gehen:
a.) HTML inkl. secure socket layer
b.) Mails, pop3,smtp und die secure versionen davon
rest sollte auf einen Firewall-rechner gehen.

Dieses ganze vorabgefiltere soll den Firewall-Rechner ein bischen entlasten der schon relativ am limit ist, wie gesagt der Bintec konnte es ohne grössere Probleme, kann dies der Cisco auch (gehe davon ja mal aus), achja von den 4 Hardwareports wäre dann 1x WAN, 1x HTTP 1x WWW und die defaultroute zur firewall, ist dies realisierbar auf dem Cisco-871w?

Vielen Dank für alle die es bis hierher geschaft haben ohne mit dem Kopf die Tischplatte zu zerschlagen *g* cheers
Rhav.

[Otaku19]

mit route-map lässt sich alles umsetzen was über erweiterte ACLs greifbar ist. nur hab ich damit weder oft gearbeitet, noch weiß ich obs am 871er hinhaun wird.

Aber ein Guru könnte ja vielleicht mal da drüber schaun:

access-list 110 permit tcp any any 80
route-map http permit 100
match ip address 110
set ip next-hop IP 10.0.10.y (oder halt set interface wenn die Dinger an verschiedenen ints angebunden sind)

dann eben noch "ip policy route-map http" auf dem interface setzen wo der Verkehr reinkommt, oder ?

[Wordo]

Zitat von Otaku19 mit route-map lässt sich alles umsetzen was über erweiterte ACLs greifbar ist. nur hab ich damit weder oft gearbeitet, noch weiß ich obs am 871er hinhaun wird. Aber ein Guru könnte ja vielleicht mal da drüber schaun: access-list 110 permit tcp any any 80 route-map http permit 100 match ip address 110 set ip next-hop IP 10.0.10.y (oder halt set interface wenn die Dinger an verschiedenen ints angebunden sind) dann eben noch "ip policy route-map http" auf dem interface setzen wo der Verkehr reinkommt, oder ?

Eine 871 kann das, laut cisco.com kommts nicht mal aufs Featureset an (hab 12.4.15T1 verglichen)

[Otaku19]

und würds konfig mässig hinhaun ?

Dann müsste man noch eine 2. Regel für den Mailkrempel basteln. wobei man die allesamt mit einer ACL abdecken kann

[Wordo]

Aus Kopf raus, ja Aber ich schnall nicht was er mit Punkt a) und b) meint

[rhavel]

Erstmal Danke für alle Antworten, hätte ich nicht mit gerechnet :thumbsup:

zu Punkt a) bzw. b) ja okay war etwas verwirrend geb ich zu, wobei nach paar Stunden arbeit und dannach noch eine Vorlesung über verteilte Systeme ist dies für mich auch ersichtlich

Gut, ich will versuchen, mein Szenario noch etwas zu verfeinern:

Alles was an Traffic für www bzw. mail reinkommt (http, https, smtp, pop3, usw..) sollte direkt auf den Server 10.0.10.X geschickt werden (als Front-end Mail-Gateway mit Webmail), der rest soll auf den Firewall-server geschickt werden 10.0.10.Z

Denke das mit der ACL klingt verlockend, wnen ich mal die Zeit habe les ich mich da mal ein bischen rein

thanks again
Rhav

[Otaku19]

macht der Router eignetlich NAT ? Dann wären portforwards leichter

[rhavel]

Ja NAT ist aufgrund User-aktivität geplant

[Wordo]

Achso, du redest von static NAT, ne, dann geht das mit route-map's nicht, die geben ja nur ein Gateway an. Du willst ja nur vom Internet her bestimmte Dienste verfuegbar machen.

Oder hab ich jetzt was falsch verstanden?

[rhavel]

Genau, aus dem Internet sollen Web-; bzw. Emailserver erreichbar sein, der restliche traffic welcher nicht http bzw. mail betrifft soll auf den Firewall server geschickt werden und sonst NAT aktiv für mehrere User.