rhavel 10 Geschrieben 11. September 2007 Melden Teilen Geschrieben 11. September 2007 Hi all, Ich habe da eine Frage bzgl. Portmapping auf Cisco-geräten und wollte euch diese nicht Vorenthalten *g* Im Moment verwende ich einen Bintec X2250 Router, welcher durch ein "policy-based" (abarbeiten einer Liste, in diesem Fall) die einzellnen eingehenden Ports den richtigen Interfaces/IP Adressen anspricht, dh es sieht ca wie folgt aus bintec router erhält eine html Anfrage (port 80) und hat in der Config eine Liste mit Portnummern und die zu routende IP-Adresse gegeben: 23: 10.0.10.x 80: 10.0.10.y any: 10.0.10.z (welcher dann die weiter auswahl trifft) Jetzt wollte ich mich erkundigen, ob es so einen Weg auch auf Cisco-Routern gibt, da unser guter "alter" Bintec durch eine unfreiwillig erzeugte Überspannung (blitzschlag) den Geist aufgegeben hat. Und wenn ja wie würde man dies erreichen können (nat sollte ja praktisch eingeschaltet sein). Ich interessiere mich für folgendes Produkt Cisco-871 Folgende Services sollten auf unterschiedliche Rechner gehen: a.) HTML inkl. secure socket layer b.) Mails, pop3,smtp und die secure versionen davon rest sollte auf einen Firewall-rechner gehen. Dieses ganze vorabgefiltere soll den Firewall-Rechner ein bischen entlasten der schon relativ am limit ist, wie gesagt der Bintec konnte es ohne grössere Probleme, kann dies der Cisco auch (gehe davon ja mal aus), achja von den 4 Hardwareports wäre dann 1x WAN, 1x HTTP 1x WWW und die defaultroute zur firewall, ist dies realisierbar auf dem Cisco-871w? Vielen Dank für alle die es bis hierher geschaft haben ohne mit dem Kopf die Tischplatte zu zerschlagen *g* cheers Rhav. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 11. September 2007 Melden Teilen Geschrieben 11. September 2007 mit route-map lässt sich alles umsetzen was über erweiterte ACLs greifbar ist. nur hab ich damit weder oft gearbeitet, noch weiß ich obs am 871er hinhaun wird. Aber ein Guru könnte ja vielleicht mal da drüber schaun: access-list 110 permit tcp any any 80 route-map http permit 100 match ip address 110 set ip next-hop IP 10.0.10.y (oder halt set interface wenn die Dinger an verschiedenen ints angebunden sind) dann eben noch "ip policy route-map http" auf dem interface setzen wo der Verkehr reinkommt, oder ? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 11. September 2007 Melden Teilen Geschrieben 11. September 2007 mit route-map lässt sich alles umsetzen was über erweiterte ACLs greifbar ist. nur hab ich damit weder oft gearbeitet, noch weiß ich obs am 871er hinhaun wird. Aber ein Guru könnte ja vielleicht mal da drüber schaun: access-list 110 permit tcp any any 80 route-map http permit 100 match ip address 110 set ip next-hop IP 10.0.10.y (oder halt set interface wenn die Dinger an verschiedenen ints angebunden sind) dann eben noch "ip policy route-map http" auf dem interface setzen wo der Verkehr reinkommt, oder ? Eine 871 kann das, laut cisco.com kommts nicht mal aufs Featureset an (hab 12.4.15T1 verglichen) Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 11. September 2007 Melden Teilen Geschrieben 11. September 2007 und würds konfig mässig hinhaun ? Dann müsste man noch eine 2. Regel für den Mailkrempel basteln. wobei man die allesamt mit einer ACL abdecken kann Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 11. September 2007 Melden Teilen Geschrieben 11. September 2007 Aus Kopf raus, ja :) Aber ich schnall nicht was er mit Punkt a) und b) meint :D Zitieren Link zu diesem Kommentar
rhavel 10 Geschrieben 11. September 2007 Autor Melden Teilen Geschrieben 11. September 2007 Erstmal Danke für alle Antworten, hätte ich nicht mit gerechnet zu Punkt a) bzw. b) ja okay war etwas verwirrend geb ich zu, wobei nach paar Stunden arbeit und dannach noch eine Vorlesung über verteilte Systeme ist dies für mich auch ersichtlich ;) Gut, ich will versuchen, mein Szenario noch etwas zu verfeinern: Alles was an Traffic für www bzw. mail reinkommt (http, https, smtp, pop3, usw..) sollte direkt auf den Server 10.0.10.X geschickt werden (als Front-end Mail-Gateway mit Webmail), der rest soll auf den Firewall-server geschickt werden 10.0.10.Z Denke das mit der ACL klingt verlockend, wnen ich mal die Zeit habe les ich mich da mal ein bischen rein thanks again Rhav Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 12. September 2007 Melden Teilen Geschrieben 12. September 2007 macht der Router eignetlich NAT ? Dann wären portforwards leichter Zitieren Link zu diesem Kommentar
rhavel 10 Geschrieben 12. September 2007 Autor Melden Teilen Geschrieben 12. September 2007 Ja NAT ist aufgrund User-aktivität geplant Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 12. September 2007 Melden Teilen Geschrieben 12. September 2007 Achso, du redest von static NAT, ne, dann geht das mit route-map's nicht, die geben ja nur ein Gateway an. Du willst ja nur vom Internet her bestimmte Dienste verfuegbar machen. Oder hab ich jetzt was falsch verstanden? Zitieren Link zu diesem Kommentar
rhavel 10 Geschrieben 12. September 2007 Autor Melden Teilen Geschrieben 12. September 2007 Genau, aus dem Internet sollen Web-; bzw. Emailserver erreichbar sein, der restliche traffic welcher nicht http bzw. mail betrifft soll auf den Firewall server geschickt werden und sonst NAT aktiv für mehrere User. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 14. September 2007 Melden Teilen Geschrieben 14. September 2007 dann schlage ich eher folgendes vor: ip nat inside source static tcp 10.0.10.x 80 offizielle IP/interface 80 extendable ip nat inside source static tcp 10.0.10.x 443 offizielle IP/interface 443 extendable ip nat inside source static tcp 10.0.10.y 110 offizielle IP/interface 110 extendable ip nat inside source static tcp 10.0.10.y 25 offizielle IP/interface 25 extendable [usw usf je nachdem was halt wohin gehen soll] ip nat inside source static 10.0.10.z offizielle IP/interface extendable [hier wird bestimmt das eignetlich alles auf die FW gehen soll sofern nciht obiges schon zutrifft] wie wärs denn damit ? Sicher einfacher als route-maps Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.