Solucionado: Re: ACL para NAT y bloqueo del tráfico WAN saliente

Translator · ‎10-27-2023

Muchas gracias a la comunidad por atender algunas de mis preguntas y por ayudarme a obtener más información sobre los routers de Cisco. Recientemente, un usuario me ayudó a ejecutar NAT en el router con una única dirección IP en

GigbitEthernet0/0/0

a una red corporativa. Para acceder a NAT, utilizamos una ACL para permitir que rangos de IP específicos utilicen NAT. Funciona como se esperaba. ¡Genial!

Lo que no esperaba encontrar era que los rangos de IP que no utilizan NAT están enviando su dirección IP privada a través del puerto que está conectado a una red corporativa. Realmente quiero bloquear este tráfico.

La ACL para permitir que las subredes utilicen NAT es NAT_Access
También creé una ACL denominada

Deny_Firewall_Access

para bloquear el acceso fuera de la

GigabitEthernet0/0/0

puerto.

Para realizar pruebas, tengo

192.168.12.0/24

configurado para NAT y

192.168.8.0/24

configurado para no utilizar NAT.

Las secciones pertinentes de nuestra configuración en ejecución son las que se muestran aquí.
!

interface GigabitEthernet0/0/0
ip address 123.123.123.27 255.255.255.0
ip nat outside
negotiation auto
spanning-tree portfast disable
!
!
interface Vlan108
ip address 192.168.8.1 255.255.255.0
ip helper-address 192.168.0.3
!
interface Vlan112
ip address 192.168.12.1 255.255.255.0
ip helper-address 192.168.0.3
ip nat inside
!
!
ip default-gateway 123.123.123.1
ip http server
ip http authentication local
ip http secure-server
ip http client source-interface GigabitEthernet0/0/1
ip forward-protocol nd
!
ip nat pool NAT_Pool 123.123.123.27 123.123.123.27 prefix-length 24
ip nat inside source route-map track-primary-if interface GigabitEthernet0/0/0 overload
ip nat inside source list NAT_Access pool NAT_Pool overload
!
ip access-list extended Deny_Firewall_Access
10 deny ip 192.168.8.0 0.0.0.255 any
20 permit ip 192.168.12.0 0.0.0.255 any
ip access-list extended NAT_Access
10 permit ip 192.168.12.0 0.0.0.255 any
20 deny ip 192.168.8.0 0.0.0.255 any   <--- Not really needed as I have seen
!
route-map track-primary-if permit 1
match ip address 197
set interface GigabitEthernet0/0/0
!

Intenté usar la herramienta

Deny_Firewall_Access ACL

para bloquear el acceso fuera del

GigabitEthernet0/0/0

puerto con esta configuración pero interfirió con NAT.

interface GigabitEthernet0/0/0
ip address 161.218.133.27 255.255.255.0
ip nat outside
ip access-group Deny_Firewall_Access out
negotiation auto
spanning-tree portfast disable

Asumo que me estoy perdiendo algún concepto o correr por el agujero del conejo equivocado.
Se agradece la orientación.

Translator · ‎10-27-2023

Hello

@bakerjw escribió:

Lo que no esperaba encontrar era que los rangos de IP que no utilizan NAT están enviando su dirección IP privada a través del puerto que está conectado a una red corporativa. Realmente quiero bloquear este tráfico

Nat se utiliza principalmente para "ocultar" redes, como tal si no necesita ocultar una red determinada, entonces puede negarla de ser analizada como lo notó en sus pruebas

ejemplo:

ip access-list extended NAT_Access
10 deny ip 192.168.8.0 0.0.0.255 any 
20 permit ip 192.168.12.0 0.0.0.255 any

Por lo tanto, si desea que la red no se conecte ni se enrute, simplemente no la anuncie externamente

Por último, si examinamos su configuración, parece que ha agregado más

nat/route-map

declaraciones que no están relacionadas con ninguna acl, además de que necesita una

default route

y no una

ip default-gateway

y muestra dos direcciones ip de wan diferentes para la misma interfaz?


route-map track-primary-if permit 1 
match ip address 197 < no acl 197 exists?
set interface GigabitEthernet0/0/0

no ip nat inside source route-map track-primary-if interface GigabitEthernet0/0/0 overload < not required

interface GigabitEthernet0/0/0
ip address 161.218.133.27 255.255.255.0  < ???

interface GigabitEthernet0/0/0
ip address 123.123.123.27 255.255.255.0  < ???

no ip default-gateway 123.123.123.1 
ip route 0.0.0.0 0.0.0.0 gigabitEthernet0/0/0 123.123.123.1 (or)  161.218.133.x

Ver la solución en mensaje original publicado

Translator · ‎10-27-2023

Lo siento, no consigas lo que quieres aquí.

¿Qué prefijo no desea NATing?

Translator · ‎10-27-2023

Nosotros queremos

192.168.12.0/24 to NAT out GigabitEthernet0/0/0.

Queremos bloquear.

192.168.8.0/24

paquetes de salir

GigabitEthernet0/0/0.

Translator · ‎10-27-2023

¿Puede compartir

Show ip access-list

Después de usted

ping

desde una subred .8.0

Translator · ‎10-27-2023

Desde luego.
La ACL

Deny_Firewall_Access

se encuentra en la configuración pero no se está utilizando en este momento.

cisco-c1111-8p-01#show ip access-lists
Extended IP access list CISCO-CWA-URL-REDIRECT-ACL
100 deny udp any any eq domain
101 deny tcp any any eq domain
102 deny udp any eq bootps any
103 deny udp any any eq bootpc
104 deny udp any eq bootpc any
105 permit tcp any any eq www
Extended IP access list Deny_Firewall_Access
10 deny ip 192.168.8.0 0.0.0.255 any (7 matches)
20 permit ip 192.168.12.0 0.0.0.255 any (60 matches)
Extended IP access list NAT_Access
10 permit ip 192.168.6.0 0.0.0.255 any
20 permit ip 192.168.7.0 0.0.0.255 any
30 permit ip 192.168.9.0 0.0.0.255 any
40 permit ip 192.168.12.0 0.0.0.255 any
50 permit ip 192.168.100.0 0.0.0.255 any
60 permit ip 192.168.101.0 0.0.0.255 any
70 permit ip 192.168.104.0 0.0.0.255 any
80 permit ip 192.168.105.0 0.0.0.255 any
90 permit ip 192.168.255.0 0.0.0.255 any
100 deny ip 192.168.8.0 0.0.0.255 any
Extended IP access list meraki-fqdn-dns

Translator · ‎10-27-2023

10 deny ip 192.168.8.0 0.0.0.255

cualquiera (7 coincidencias)

Este 7 coincidencias significan que acl es trabajo

Sin embargo, para estar más seguro, agregue un registro a cada línea y compruebe que el mensaje de registro aparece cuando

ping