Solucionado: Re: ayuda con acl y nat overload

javierzuleta · ‎05-27-2020

tengo ese esquema de red.

y quiero agregar lo siguiente ya que no se puede usar acl extendida por que la interfaz esta con el overload.

access-list 1 permit 10.10.100.0 0.0.0.255

access-list 1 permit 10.0.10.0 0.0.0.255

access-list 1 permit 10.0.20.0 0.0.0.255 (los vlan 20 | 30 | 40 | pensando en una futura expansión)

access-list 1 permit 10.0.30.0 0.0.0.255

access-list 1 permit 10.0.40.0 0.0.0.255

access-list 1 permit 192.168.0.0 0.0.255.255

#ip nat inside source list 1 pool LISTAS_HOST_LAN overload

nose si es correcto usar todas esas access_list o ¿como debo hacerlo?

luis_cordova · ‎05-27-2020

Hola @javierzuleta

El comando ip nat inside source list 1 pool EJEMPLO overload asocia la ACL 1 al pool indicado en el comando.

Si quieres permitir mas redes, solo debes agregar mas entradas a la ACL 1, sin tener que reingresar la asociación previa.

En otras palabras:

al agregar mas access-list solo agrego eso o igual el nat?
ejemplo: access-list 1 permit 10.0.30.0 0.0.0.255

R: Correcto, basta con ingresar mas entradas a la ACL 1.

Recuerda aplicar el nateo en las interfaces, como te comentó @Julio E. Moisa

Saludos

Ver la solución en mensaje original publicado

luis_cordova · ‎05-27-2020

Hola @javierzuleta

Si se pueden usar varias entradas de la ACL para indicar las redes permitidas del nateo.

Ahora bien, por temas de seguridad, te recomiendo agregar esta entradas cuando expandas la red y no antes, pues puedes tener estar dejando una puerta abierta.

Tambien te sugiero acotar la máscara de red de la última entrada, pues está indica una mascar 16 y en tu esquema, al parecer, esta máscara es más corta.

La idea es tratar de ser lo más específico en lo que permites, pues así no dejas espacio para posibles ataques.

Saludos

javierzuleta · ‎05-27-2020

me recomienda agregar las vlan cuando se necesiten. una consulta:

al agregar mas access-list solo agrego eso o igual el nat?
ejemplo: access-list 1 permit 10.0.30.0 0.0.0.255

o de esta forma:
access-list 1 permit 10.0.30.0 0.0.0.255
ip nat inside source list 1 pool EJEMPLO overload

Julio E. Moisa · ‎05-27-2020

Te recomiendo utilizar ACL nombrada porque al eliminar una linea no borra el resto:

ip access-list standard MIS-REDES-NAT

permit 10.0.30.0 0.0.0.255

ip nat inside source list MIS-REDES-NAT interface <interface> overload

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

luis_cordova · ‎05-27-2020

Hola @javierzuleta

El comando ip nat inside source list 1 pool EJEMPLO overload asocia la ACL 1 al pool indicado en el comando.

Si quieres permitir mas redes, solo debes agregar mas entradas a la ACL 1, sin tener que reingresar la asociación previa.

En otras palabras:

al agregar mas access-list solo agrego eso o igual el nat?
ejemplo: access-list 1 permit 10.0.30.0 0.0.0.255

R: Correcto, basta con ingresar mas entradas a la ACL 1.

Recuerda aplicar el nateo en las interfaces, como te comentó @Julio E. Moisa

Saludos

Julio E. Moisa · ‎05-27-2020

Hola

Si se puede y la verdad considero buena practica especificar las redes que seran parte del NAT tal como lo has hecho.

Por lo general se usa ACL standard, puedes usar ACL extendida tambien pero es mas utilizado para casos puntuales o contextos puntuales.

Tu configuracion debe funcionar, recuerda aplicar ip nat inside / ip nat outside en las interfaces correspondientes.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Hilda Arteaga · ‎05-27-2020

Hola @luis_cordova y @Julio E. Moisa muchas gracias por buscar asistir a @javierzuleta con la duda