rhavel 10 Geschrieben 11. September 2007 Melden Geschrieben 11. September 2007 Hi all, Ich habe da eine Frage bzgl. Portmapping auf Cisco-geräten und wollte euch diese nicht Vorenthalten *g* Im Moment verwende ich einen Bintec X2250 Router, welcher durch ein "policy-based" (abarbeiten einer Liste, in diesem Fall) die einzellnen eingehenden Ports den richtigen Interfaces/IP Adressen anspricht, dh es sieht ca wie folgt aus bintec router erhält eine html Anfrage (port 80) und hat in der Config eine Liste mit Portnummern und die zu routende IP-Adresse gegeben: 23: 10.0.10.x 80: 10.0.10.y any: 10.0.10.z (welcher dann die weiter auswahl trifft) Jetzt wollte ich mich erkundigen, ob es so einen Weg auch auf Cisco-Routern gibt, da unser guter "alter" Bintec durch eine unfreiwillig erzeugte Überspannung (blitzschlag) den Geist aufgegeben hat. Und wenn ja wie würde man dies erreichen können (nat sollte ja praktisch eingeschaltet sein). Ich interessiere mich für folgendes Produkt Cisco-871 Folgende Services sollten auf unterschiedliche Rechner gehen: a.) HTML inkl. secure socket layer b.) Mails, pop3,smtp und die secure versionen davon rest sollte auf einen Firewall-rechner gehen. Dieses ganze vorabgefiltere soll den Firewall-Rechner ein bischen entlasten der schon relativ am limit ist, wie gesagt der Bintec konnte es ohne grössere Probleme, kann dies der Cisco auch (gehe davon ja mal aus), achja von den 4 Hardwareports wäre dann 1x WAN, 1x HTTP 1x WWW und die defaultroute zur firewall, ist dies realisierbar auf dem Cisco-871w? Vielen Dank für alle die es bis hierher geschaft haben ohne mit dem Kopf die Tischplatte zu zerschlagen *g* cheers Rhav.
Otaku19 33 Geschrieben 11. September 2007 Melden Geschrieben 11. September 2007 mit route-map lässt sich alles umsetzen was über erweiterte ACLs greifbar ist. nur hab ich damit weder oft gearbeitet, noch weiß ich obs am 871er hinhaun wird. Aber ein Guru könnte ja vielleicht mal da drüber schaun: access-list 110 permit tcp any any 80 route-map http permit 100 match ip address 110 set ip next-hop IP 10.0.10.y (oder halt set interface wenn die Dinger an verschiedenen ints angebunden sind) dann eben noch "ip policy route-map http" auf dem interface setzen wo der Verkehr reinkommt, oder ?
Wordo 11 Geschrieben 11. September 2007 Melden Geschrieben 11. September 2007 mit route-map lässt sich alles umsetzen was über erweiterte ACLs greifbar ist. nur hab ich damit weder oft gearbeitet, noch weiß ich obs am 871er hinhaun wird. Aber ein Guru könnte ja vielleicht mal da drüber schaun: access-list 110 permit tcp any any 80 route-map http permit 100 match ip address 110 set ip next-hop IP 10.0.10.y (oder halt set interface wenn die Dinger an verschiedenen ints angebunden sind) dann eben noch "ip policy route-map http" auf dem interface setzen wo der Verkehr reinkommt, oder ? Eine 871 kann das, laut cisco.com kommts nicht mal aufs Featureset an (hab 12.4.15T1 verglichen)
Otaku19 33 Geschrieben 11. September 2007 Melden Geschrieben 11. September 2007 und würds konfig mässig hinhaun ? Dann müsste man noch eine 2. Regel für den Mailkrempel basteln. wobei man die allesamt mit einer ACL abdecken kann
Wordo 11 Geschrieben 11. September 2007 Melden Geschrieben 11. September 2007 Aus Kopf raus, ja :) Aber ich schnall nicht was er mit Punkt a) und b) meint :D
rhavel 10 Geschrieben 11. September 2007 Autor Melden Geschrieben 11. September 2007 Erstmal Danke für alle Antworten, hätte ich nicht mit gerechnet zu Punkt a) bzw. b) ja okay war etwas verwirrend geb ich zu, wobei nach paar Stunden arbeit und dannach noch eine Vorlesung über verteilte Systeme ist dies für mich auch ersichtlich ;) Gut, ich will versuchen, mein Szenario noch etwas zu verfeinern: Alles was an Traffic für www bzw. mail reinkommt (http, https, smtp, pop3, usw..) sollte direkt auf den Server 10.0.10.X geschickt werden (als Front-end Mail-Gateway mit Webmail), der rest soll auf den Firewall-server geschickt werden 10.0.10.Z Denke das mit der ACL klingt verlockend, wnen ich mal die Zeit habe les ich mich da mal ein bischen rein thanks again Rhav
Otaku19 33 Geschrieben 12. September 2007 Melden Geschrieben 12. September 2007 macht der Router eignetlich NAT ? Dann wären portforwards leichter
rhavel 10 Geschrieben 12. September 2007 Autor Melden Geschrieben 12. September 2007 Ja NAT ist aufgrund User-aktivität geplant
Wordo 11 Geschrieben 12. September 2007 Melden Geschrieben 12. September 2007 Achso, du redest von static NAT, ne, dann geht das mit route-map's nicht, die geben ja nur ein Gateway an. Du willst ja nur vom Internet her bestimmte Dienste verfuegbar machen. Oder hab ich jetzt was falsch verstanden?
rhavel 10 Geschrieben 12. September 2007 Autor Melden Geschrieben 12. September 2007 Genau, aus dem Internet sollen Web-; bzw. Emailserver erreichbar sein, der restliche traffic welcher nicht http bzw. mail betrifft soll auf den Firewall server geschickt werden und sonst NAT aktiv für mehrere User.
Otaku19 33 Geschrieben 14. September 2007 Melden Geschrieben 14. September 2007 dann schlage ich eher folgendes vor: ip nat inside source static tcp 10.0.10.x 80 offizielle IP/interface 80 extendable ip nat inside source static tcp 10.0.10.x 443 offizielle IP/interface 443 extendable ip nat inside source static tcp 10.0.10.y 110 offizielle IP/interface 110 extendable ip nat inside source static tcp 10.0.10.y 25 offizielle IP/interface 25 extendable [usw usf je nachdem was halt wohin gehen soll] ip nat inside source static 10.0.10.z offizielle IP/interface extendable [hier wird bestimmt das eignetlich alles auf die FW gehen soll sofern nciht obiges schon zutrifft] wie wärs denn damit ? Sicher einfacher als route-maps
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden