Configurazione Nat con restrizioni

[uvula]

Buon giorno a tutti,
dovrei sistemare la configurazione di un router già esistente.
si tratterebbe di dare accesso ad un apparato all'interno della rete solo da 1/2 indirizzi ip esterni.

creo la mia solita nat inside per forwardare la porta e fin li tutto bene.
ma per poi dare accesso a 1/2 indirizzi esterni che tipo di acl devo creare?

devo crearmi una named con i 2 indirizzi e dargli il permit solo a quella?
è un azione che posso fare da remoto o rischio di perdere la connessione?


esempio
porta 1001
ip interno 192.168.1.2
ip router 178.25.26.23
ip sorgente 154.25.26.23

grazie mille.

[Rizio]

Non sò se sia la best practice ma io solitamente quando devo lavorare sull'accesso alla console del router uso un'acl semplice con i singoli ip permessi e la applico sulle line tty con l'access-class.
Per farti un esempio:

Codice: Seleziona tutto

access-list 2 permit 10.10.10.10
access-list 2 permit 10.10.10.1
access-list 2 permit 151.121.xxx.xxx
!
line vty 0 4
 access-class 2 in
 exec-timeout 0 0
 transport input ssh

Riguardo al rischio di chiuderti fuori si, se sbagli ip e la applichi c'è, però la console rimane accessibile (fisicamente)

Rizio

[uvula]

Ciao, grazie per la risposta

Si direi che per l'accesso dall'esterno può essere una buona soluzione.
però questa la applichi in per dare restrizione all'accesso in ssh giusto?
per poter applicare una acl del genere ad una NAT invece?

dovrei crearmi l'acl con gli ip di ingresso e poi dove dovrei andare ad applicarla?

grazie mille per l'aiuto.

[Rizio]

Ma cosa devi rendere accessibile dall'esterno? Io pensavo l'accesso al router.
La logica è quella che hai riassunto e per l'applicazione dipende da dove ti arriva "l'ospite", teoricamente sull'ingresso della rete esterna (Es. la Dialer o la Seriale, dipende dal router e dal tipo di collegamento che usi). Però a quel punto occhio che il deny all implicito alla fine ti sega tutto il traffico (anche probabilmente il tuo in ingresso)

Rizio

[uvula]

praticamente è per aver accesso alle telecamere dall'estreno.
c'è un dvr centrale con un ip interno, dall'interno o dall'esterno c'è un programma che punta alla porta 1001 dell'apparato.

quindi dovrei aprire la porta con una NAT per poterle monitorare dall'esterno.
facendo così però non creo restrizioni o meglio la porta anche se raggiungibile solo con un programma apposito rimane aperto da tutti.

quindi se era possibile limitare l'accesso a questa porta solo per determinati ip sarebbe stato meglio.

router:
Cisco IOS Software, C837 Software (C837-K9O3Y6-M), Version 12.3(2)XE4, RELEASE S

Ciao Grazie mille.

[uvula]

tipo:

nat: ip nat inside source static tcp 192.168.xxx.xxx 1001 91.xxx.xxx.xxx 1001
sulla wan: ip access-group 101 in
acl: access-list 101 permit tcp host 178.xxx.xxx.xxx host 91.xxx.xxx.xxx eq 1001

potrebbe andare bene?
devo mettere alla fine anche

access-list 101 deny tcp any host 91.xxx.xxx.xxx eq 1001
access-list 101 permit ip any any

teoricamente facendo da remoto non dovrei perdere l'accesso se lavoro su questa porta o sbaglio?

Grazie mille.

[Rizio]

Si, da vedere così mi semrba tutto corretto ma non sono io il mago delle acl in questo forum
Però mi sembra giusto. Vediamo se qualcun altro ti dà pareri diversi.

Rizio

[Braveheart84]

mi sembra configurata bene, tuttavia non credo che sia necessaria la seconda linea, in quanto nel caso arrivasse un pachetto tcp proveniente da un ip "intruso", il router lo dropperebbe in quanto non troverebbe nessun match. Nel caso invece di un pacchetto ip passserebbe per via della terza linea, cioé "permit ip any any".

[uvula]

ciao grazie,
dici la riga

access-list 101 deny tcp any host 91.xxx.xxx.xxx eq 1001

se preip intruso intendi uno che non elencato mi va bene, nel senso che voglio negare tutto il traffico verso questa porta, per poi con

access-list 101 permit ip any any

dovrei ridare tutto il traffico solo per i 2 ip specificati.

è corretto?