-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Alessio Paravati ha scritto:
>> Altra cosa: ho visto che la acl 1 è collegata alla seguente
>> stringa:
>>
>> ip nat inside source list 1 interface Dialer0 overload
>>
>> in soldoni, a cosa serve? ho provato a rimuoverla (la acl 1) e si
>> blocca tutto..
L'access-list 1 è come vedi dallo sh access-list:
permit 10.10.10.0, wildcard bits 0.0.0.255 (889 matches)
questo permette tutto il traffico dalla 10.10.10.0 255.255.255.0.
con la riga:
ip nat inside source list 1 interface Dialer0 overload
non fai nient'altro che dire (detto proprio in parole povere): "natta
tutto il traffico permesso dalla acl 1 con l'indirizzo della dialer0"
quell'"overload" alla fine, come già ti è stato detto, è il PAT (Port
Address Translation) che è un NAT Dinamico che utilizza le porte
sorgenti (che vengono generate in maniera random dal client che vuole
uscire) per identificare la "connessione". Questo permette a più
utenti di uscire su Internet con lo stesso indirizzo (in questo caso
quello della Dialer0).
Come esempio considera due utenti in un'azienda che escono con un solo
IP pubblico e che sono sullo stesso sito. Come fa il router a capire
chi ha richiesto una determinata pagina e inoltrare quindi il traffico
all'utente giusto? Lo fa attraverso il PAT e con la porta nel campo
"source".
In genere, quando si hanno a disposizione più indirizzi pubblici, si
crea un pool di indirizzi con i quali gli utenti possono andare su
internet, con il comando:
ip nat pool <nome_pool> <first_address> <last_address> netmask
<subnet_mask>
e poi si applica allo stesso modo ma con il comando:
ip nat inside source list 1 pool <nome_pool> overload
[cut]
> In ogni caso ed IMHO, filtrare il traffico (casalingo) che esce
> verso Internet non ha molto senso a meno che non si tratti di
> un'ambiente di produzione di cui si vuole limitare il traffico in
> uscita. In questo caso però Prevederei anche un filtro in ingresso
> (che qui, secondo i ragionamenti fatti e secondo la tua conf, non è
> del tutto previsto...)
>
> Ripeto, secondo me, dalla tua espressione nella prima mail "Sto
> cercando di configurare l'apparato in oggetto per rendere un po più
> sicura la mia rete casalinga", deduco che sia tu, che i consigli
> dati sino ad ora siano completamente fuori pista.
>
> Sbaglio? :O)
Assolutamento no. :-)
Infatti leggendo con più attenzione la prima mail di stefano e
ragionandoci un po, le tue considerazioni sono tutte giuste.
In effetti filtrare il traffico che viene dall'interno non ha senso
(ed è quello che ti ho erroneamente consigliato anche io applicando
l'acl sulla Vlan 1 in) se non per le motivazioni che ti ha detto
Alessio...
in effetti ha molto più senso filtrare il traffico in entrata da
internet e quindi le acl vanno applicate sulla dialer0 in ingresso..
Stefano
-----BEGIN PGP SIGNATURE-----
Version: GnuPG/MacGPG2 v2.0.12 (Darwin)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iQEcBAEBAgAGBQJK7yhlAAoJEAt7LoZ6FPtsbPQH/02585kV8yBc2xKDrUC5JMNE
xqjxFpbgMZEpTCzaFr8fTbAb2rqcGc3fo3CMGzjlVrroe2MTu2jHjC8whJYJn3MX
ov+fjawmeDF9zxA2fZaWHWOSEbbh+SYLa/MjoIvA89bQ8fg0+QyKGCGWWyE/eQnJ
z3G1bPby/R0mXqw/Y562ZualhYzOVIcHc5Ij80TjiXV2nbPC4RhWcgaqNTAHY2cJ
QzOF3KXeqg/rDcug7rqGItrYdqy/vaaplrsbrHawAR0tdKUZLCSizMp7js9yeGOK
c1uzQITsRSEAUkJg1lQSjDm/n4wFiDUZSSoqM6dAPrxO2tW+mbjw7A6HXNHYN1Q=
=a7te
-----END PGP SIGNATURE-----
_______________________________________________
http://www.areanetworking.it
http://www.areanetworking.it/blog
[email protected]
http://ml.areanetworking.it/mailman/listinfo/cug
