Jump to content

NAT-Möglichkeiten PIX 7.0

maho

Von maho
in Cisco Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

s21it21 Community Regular

s21it21   10

Geschrieben
Geschrieben

Hallo!

 

Mit den statics kann man so ziemlich alles in alle Richtungen naten. Das ging schon immer mit der Pix!!!!!! Dafür brauchst Du nicht das IOS7!!!!

 

Mit dem static kann man nicht nur von inside nach outside umsetzten.

 

Es kommt nur auf die Reihenfolge beim Static-Befehl an.

 

Grundsätzlich lautet die Syntax static (IntHöherePrio,IntniedrigerePrio) ip1 ip2

 

Man kann das aber drehen wie man will.

 

lg

Martin

Link zu diesem Kommentar
maho Rising Star

maho   10

Geschrieben
  • Autor
Geschrieben

Hallo Martin,

 

static ist doch dazu da, um Zugriffe von unsicheren Netzwerken (outside, bzw. niedrigere Prio) auf gesicherte Netzerke frei zu geben?

Wie müsste die Konfig. Deiner Meinung nach aussehen, wenn 192.168.1.1 aus dem unsicheren Bereich (also niedrigere Prio) kommt, bevor er auf die IP 10.33.22.50 im sicheren Bereich zugreift soll er umgesetzt werden in 10.168.1.1.

Quellle Ziel

192.168.1.1 10.33.22.50

 

NAT

Quellle Ziel

10.168.1.1 10.33.22.50

 

Grüße

Maho

post-23793-13567389323003_thumb.jpg

Link zu diesem Kommentar
s21it21 Community Regular

s21it21   10

Geschrieben
Geschrieben

Hello!

 

Das was Du willst ist im Prinzip ein outsideNAT. Die QuellIP, die vom Outside-Interface kommt, wird auf eine andere IP genattet, wenn eben der Traffic an das Inside-Interface weitergeleitet werden soll.

 

Wenn ich Dich richtig verstanden haben, dann schaut das bei Dir so aus:

 

Die 192.168.1.1 soll auf die 10.168.1.1 genattet werden ,wenn der Zugriff auf 10.33.22.50 erfolgen soll. Richtig?

 

Für den Zugriff auf den Server 10.33.22.50 brauchst, sowie so einen static-Eintrag + access-list. Sonst ist dieser prinzipiell gar nicht erreichbar:

 

static (inside,outside) 10.33.22.50 10.33.22.50 netmask 255.255.255.255 0 0

+ access-list am outside-interface

(ich gehe mal davon aus, dass der server hinten und vorne die selbe ip-adresse hat)

sonst eben:

 

static (inside,outside) 10.33.22.50 <priv-ip-des-servers> netmask 255.255.255.255 0 0

 

So und sollte es, wenn ich mich nicht irre, mit einem weitern static möglich sein, dass Du die QuellIP eben auch umbiegst:

 

static (outside,inside) 10.168.1.1 192.168.1.1

 

Das wäre eben das outsideNAT. Dabei sollte die 192.168.1.1, die am Outside-Interface ankommt, bei Zugriffen hinter dem Inside-Interface, auf 10.168.1.1 genattet werden.

 

Auf das Retourrouting muss noch geachtet werden.

 

Ich denke, dass das so klappen wird. Ich werde das heute mal bei mir nachstellen.

 

lg

Martin

Link zu diesem Kommentar
maho Rising Star

maho   10

Geschrieben
  • Autor
Geschrieben

>Die 192.168.1.1 soll auf die 10.168.1.1 genattet werden ,wenn der Zugriff auf 10.33.22.50 erfolgen soll. Richtig?

korrekt

 

>static (inside,outside) 10.33.22.50 10.33.22.50 netmask 255.255.255.255 0 0

+ access-list am outside-interface

(ich gehe mal davon aus, dass der server hinten und vorne die selbe ip-adresse hat)

Ist auch korrekt

 

Wie sieht das Routing aus, route ich die genattete Adresse und parallel die 192.168.1.0?

Link zu diesem Kommentar
maho Rising Star

maho   10

Geschrieben
  • Autor
Geschrieben

>Ich habe das ganze gestern im Office nachgestellt und es hat funktioniert.

WOW, VIELEN DANK FÜR DEINE MÜHE!!!!!

 

Mit dem Routing ist es mir noch ganz klar.

 

Ich route ja nach outside das Netz 192.168.1.0/24 zum Kunden B. Nun müsste ich doch, ebenfalls ins outside, das Netz 10.168.1.0/24 zum Kunden A routen. Oder nicht?

 

Dass ich das Netz 10.168.1.0/24 zur PIX routen muss habe ich verstanden. Aber was spielt sich auf der PIX ab?

 

Viele Grüße

Maho

Link zu diesem Kommentar
maho Rising Star

maho   10

Geschrieben
  • Autor
Geschrieben

Ok, verstanden. Nochmals besten Dank für die Informationen Martin!

 

Habe im Web recherchiert. Das Source-NAT ist seit der Softwareversion 6.3 möglich. Es sind einige nette Features dazu gekommen. Und sogar Policy-NAT ist möglich!!!

 

Hier eine Seite, die relativ gut beschreibt:

http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_configuration_guide_chapter09186a0080172786.html#wp1113601

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...