el 10-27-2023 01:41 AM - fecha de última edición 10-27-2023 04:43 PM por Jimena Saez
Muchas gracias a la comunidad por atender algunas de mis preguntas y por ayudarme a obtener más información sobre los routers de Cisco. Recientemente, un usuario me ayudó a ejecutar NAT en el router con una única dirección IP en
GigbitEthernet0/0/0
a una red corporativa. Para acceder a NAT, utilizamos una ACL para permitir que rangos de IP específicos utilicen NAT. Funciona como se esperaba. ¡Genial!
Lo que no esperaba encontrar era que los rangos de IP que no utilizan NAT están enviando su dirección IP privada a través del puerto que está conectado a una red corporativa. Realmente quiero bloquear este tráfico.
La ACL para permitir que las subredes utilicen NAT es NAT_Access
También creé una ACL denominada
Deny_Firewall_Access
para bloquear el acceso fuera de la
GigabitEthernet0/0/0
puerto.
Para realizar pruebas, tengo
192.168.12.0/24
configurado para NAT y
192.168.8.0/24
configurado para no utilizar NAT.
Las secciones pertinentes de nuestra configuración en ejecución son las que se muestran aquí.
!
interface GigabitEthernet0/0/0
ip address 123.123.123.27 255.255.255.0
ip nat outside
negotiation auto
spanning-tree portfast disable
!
!
interface Vlan108
ip address 192.168.8.1 255.255.255.0
ip helper-address 192.168.0.3
!
interface Vlan112
ip address 192.168.12.1 255.255.255.0
ip helper-address 192.168.0.3
ip nat inside
!
!
ip default-gateway 123.123.123.1
ip http server
ip http authentication local
ip http secure-server
ip http client source-interface GigabitEthernet0/0/1
ip forward-protocol nd
!
ip nat pool NAT_Pool 123.123.123.27 123.123.123.27 prefix-length 24
ip nat inside source route-map track-primary-if interface GigabitEthernet0/0/0 overload
ip nat inside source list NAT_Access pool NAT_Pool overload
!
ip access-list extended Deny_Firewall_Access
10 deny ip 192.168.8.0 0.0.0.255 any
20 permit ip 192.168.12.0 0.0.0.255 any
ip access-list extended NAT_Access
10 permit ip 192.168.12.0 0.0.0.255 any
20 deny ip 192.168.8.0 0.0.0.255 any <--- Not really needed as I have seen
!
route-map track-primary-if permit 1
match ip address 197
set interface GigabitEthernet0/0/0
!
Intenté usar la herramienta
Deny_Firewall_Access ACL
para bloquear el acceso fuera del
GigabitEthernet0/0/0
puerto con esta configuración pero interfirió con NAT.
!
interface GigabitEthernet0/0/0
ip address 161.218.133.27 255.255.255.0
ip nat outside
ip access-group Deny_Firewall_Access out
negotiation auto
spanning-tree portfast disable
Asumo que me estoy perdiendo algún concepto o correr por el agujero del conejo equivocado.
Se agradece la orientación.
¡Resuelto! Ir a solución.
el 10-27-2023 01:42 AM
Hello
@bakerjw escribió:
Lo que no esperaba encontrar era que los rangos de IP que no utilizan NAT están enviando su dirección IP privada a través del puerto que está conectado a una red corporativa. Realmente quiero bloquear este tráfico
Nat se utiliza principalmente para "ocultar" redes, como tal si no necesita ocultar una red determinada, entonces puede negarla de ser analizada como lo notó en sus pruebas
ejemplo:
ip access-list extended NAT_Access
10 deny ip 192.168.8.0 0.0.0.255 any
20 permit ip 192.168.12.0 0.0.0.255 any
Por lo tanto, si desea que la red no se conecte ni se enrute, simplemente no la anuncie externamente
Por último, si examinamos su configuración, parece que ha agregado más
nat/route-map
declaraciones que no están relacionadas con ninguna acl, además de que necesita una
default route
y no una
ip default-gateway
y muestra dos direcciones ip de wan diferentes para la misma interfaz?
route-map track-primary-if permit 1
match ip address 197 < no acl 197 exists?
set interface GigabitEthernet0/0/0
no ip nat inside source route-map track-primary-if interface GigabitEthernet0/0/0 overload < not required
interface GigabitEthernet0/0/0
ip address 161.218.133.27 255.255.255.0 < ???
interface GigabitEthernet0/0/0
ip address 123.123.123.27 255.255.255.0 < ???
no ip default-gateway 123.123.123.1
ip route 0.0.0.0 0.0.0.0 gigabitEthernet0/0/0 123.123.123.1 (or) 161.218.133.x
el 10-27-2023 01:42 AM
Lo siento, no consigas lo que quieres aquí.
¿Qué prefijo no desea NATing?
el 10-27-2023 01:42 AM
Nosotros queremos
192.168.12.0/24 to NAT out GigabitEthernet0/0/0.
Queremos bloquear.
192.168.8.0/24
paquetes de salir
GigabitEthernet0/0/0.
el 10-27-2023 01:42 AM
¿Puede compartir
Show ip access-list
Después de usted
ping
desde una subred .8.0
el 10-27-2023 01:42 AM
Desde luego.
La ACL
Deny_Firewall_Access
se encuentra en la configuración pero no se está utilizando en este momento.
cisco-c1111-8p-01#show ip access-lists
Extended IP access list CISCO-CWA-URL-REDIRECT-ACL
100 deny udp any any eq domain
101 deny tcp any any eq domain
102 deny udp any eq bootps any
103 deny udp any any eq bootpc
104 deny udp any eq bootpc any
105 permit tcp any any eq www
Extended IP access list Deny_Firewall_Access
10 deny ip 192.168.8.0 0.0.0.255 any (7 matches)
20 permit ip 192.168.12.0 0.0.0.255 any (60 matches)
Extended IP access list NAT_Access
10 permit ip 192.168.6.0 0.0.0.255 any
20 permit ip 192.168.7.0 0.0.0.255 any
30 permit ip 192.168.9.0 0.0.0.255 any
40 permit ip 192.168.12.0 0.0.0.255 any
50 permit ip 192.168.100.0 0.0.0.255 any
60 permit ip 192.168.101.0 0.0.0.255 any
70 permit ip 192.168.104.0 0.0.0.255 any
80 permit ip 192.168.105.0 0.0.0.255 any
90 permit ip 192.168.255.0 0.0.0.255 any
100 deny ip 192.168.8.0 0.0.0.255 any
Extended IP access list meraki-fqdn-dns
el 10-27-2023 01:42 AM
10 deny ip 192.168.8.0 0.0.0.255
cualquiera (7 coincidencias)
Este 7 coincidencias significan que acl es trabajo
Sin embargo, para estar más seguro, agregue un registro a cada línea y compruebe que el mensaje de registro aparece cuando
ping
desde una subred .8.0
el 10-27-2023 01:42 AM
Hello
@bakerjw escribió:
Lo que no esperaba encontrar era que los rangos de IP que no utilizan NAT están enviando su dirección IP privada a través del puerto que está conectado a una red corporativa. Realmente quiero bloquear este tráfico
Nat se utiliza principalmente para "ocultar" redes, como tal si no necesita ocultar una red determinada, entonces puede negarla de ser analizada como lo notó en sus pruebas
ejemplo:
ip access-list extended NAT_Access
10 deny ip 192.168.8.0 0.0.0.255 any
20 permit ip 192.168.12.0 0.0.0.255 any
Por lo tanto, si desea que la red no se conecte ni se enrute, simplemente no la anuncie externamente
Por último, si examinamos su configuración, parece que ha agregado más
nat/route-map
declaraciones que no están relacionadas con ninguna acl, además de que necesita una
default route
y no una
ip default-gateway
y muestra dos direcciones ip de wan diferentes para la misma interfaz?
route-map track-primary-if permit 1
match ip address 197 < no acl 197 exists?
set interface GigabitEthernet0/0/0
no ip nat inside source route-map track-primary-if interface GigabitEthernet0/0/0 overload < not required
interface GigabitEthernet0/0/0
ip address 161.218.133.27 255.255.255.0 < ???
interface GigabitEthernet0/0/0
ip address 123.123.123.27 255.255.255.0 < ???
no ip default-gateway 123.123.123.1
ip route 0.0.0.0 0.0.0.0 gigabitEthernet0/0/0 123.123.123.1 (or) 161.218.133.x
el 10-27-2023 01:42 AM
Una vez más, Paul. Has sido de gran ayuda.
Estas sentencias que ha mencionado fueron agregadas por los asistentes de interfaz web y se han eliminado. A veces los novatos están a merced de una GUI hasta que nos conocemos mejor.
El conductor de @paul escribió:
Por último, si examinamos su configuración, parece que ha agregado más
nat/route-mapdeclaraciones que no están relacionadas con ninguna acl, además de que necesita una
default routey no una
ip default-gatewayy muestra dos direcciones ip de wan diferentes para la misma interfaz?
route-map track-primary-if permit 1
match ip address 197 < no acl 197 exists?
set interface GigabitEthernet0/0/0
no ip nat inside source route-map track-primary-if interface GigabitEthernet0/0/0 overload < not required
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad