le 27-10-2023 01:43 AM - dernière modification le 27-10-2023 04:09 PM par Jimena Saez
Merci à la communauté d'avoir accepté certaines de mes questions et de m'avoir aidé à en savoir plus sur les routeurs Cisco. Récemment, un utilisateur m'a aidé à exécuter la fonction NAT sur notre routeur en utilisant une adresse IP unique sur
GigbitEthernet0/0/0
à un réseau d'entreprise. Pour accéder à la NAT. Nous utilisons une ACL pour autoriser des plages IP spécifiques à utiliser la NAT. Ça marche comme prévu. Super !
Je ne m'attendais pas à ce que les plages IP qui n'utilisent pas la fonction NAT envoient leur adresse IP privée via le port connecté à un réseau d'entreprise. Je veux vraiment bloquer ce trafic.
La liste de contrôle d’accès permettant aux sous-réseaux d’utiliser NAT est NAT_Access
J'ai également créé une liste de contrôle d'accès nommée
Deny_Firewall_Access
pour bloquer l'accès à la
GigabitEthernet0/0/0
port.
Pour les tests, j'ai
192.168.12.0/24
configuré pour NAT et
192.168.8.0/24
configuré pour ne pas utiliser NAT.
Les sections pertinentes de notre configuration en cours sont présentées ici.
!
interface GigabitEthernet0/0/0
ip address 123.123.123.27 255.255.255.0
ip nat outside
negotiation auto
spanning-tree portfast disable
!
!
interface Vlan108
ip address 192.168.8.1 255.255.255.0
ip helper-address 192.168.0.3
!
interface Vlan112
ip address 192.168.12.1 255.255.255.0
ip helper-address 192.168.0.3
ip nat inside
!
!
ip default-gateway 123.123.123.1
ip http server
ip http authentication local
ip http secure-server
ip http client source-interface GigabitEthernet0/0/1
ip forward-protocol nd
!
ip nat pool NAT_Pool 123.123.123.27 123.123.123.27 prefix-length 24
ip nat inside source route-map track-primary-if interface GigabitEthernet0/0/0 overload
ip nat inside source list NAT_Access pool NAT_Pool overload
!
ip access-list extended Deny_Firewall_Access
10 deny ip 192.168.8.0 0.0.0.255 any
20 permit ip 192.168.12.0 0.0.0.255 any
ip access-list extended NAT_Access
10 permit ip 192.168.12.0 0.0.0.255 any
20 deny ip 192.168.8.0 0.0.0.255 any <--- Not really needed as I have seen
!
route-map track-primary-if permit 1
match ip address 197
set interface GigabitEthernet0/0/0
!
J'ai essayé d'utiliser
Deny_Firewall_Access ACL
bloquer l'accès à
GigabitEthernet0/0/0
avec cette configuration, mais il a interféré avec la NAT.
!
interface GigabitEthernet0/0/0
ip address 161.218.133.27 255.255.255.0
ip nat outside
ip access-group Deny_Firewall_Access out
negotiation auto
spanning-tree portfast disable
Je suppose qu'il me manque un concept ou que je cours dans le mauvais terrier de lapin.
Les conseils sont appréciés.
Résolu ! Accéder à la solution.
le 27-10-2023 01:45 AM
hello
@bakerjw a écrit :
Je ne m'attendais pas à ce que les plages IP qui n'utilisent pas la fonction NAT envoient leur adresse IP privée via le port connecté à un réseau d'entreprise. Je veux vraiment bloquer ce trafic
La fonction NAT est principalement utilisée pour « masquer » les réseaux. Ainsi, si vous n'avez pas besoin de masquer un certain réseau, vous pouvez l'empêcher de faire l'objet d'une fonction NAT, comme vous l'avez remarqué lors de votre test
exemple :
ip access-list extended NAT_Access
10 deny ip 192.168.8.0 0.0.0.255 any
20 permit ip 192.168.12.0 0.0.0.255 any
Donc, si vous souhaitez que le réseau ne soit pas non plus natté pour ne pas être routé, alors ne l'annoncez pas en externe
Enfin, en examinant votre configuration, vous avez ajouté des
nat/route-map
instructions qui ne se rapportent à aucune liste de contrôle d'accès, plus vous avez besoin d'un
default route
et non un
ip default-gateway
et vous affichez deux adresses ip wan différentes pour la même interface ?
route-map track-primary-if permit 1
match ip address 197 < no acl 197 exists?
set interface GigabitEthernet0/0/0
no ip nat inside source route-map track-primary-if interface GigabitEthernet0/0/0 overload < not required
interface GigabitEthernet0/0/0
ip address 161.218.133.27 255.255.255.0 < ???
interface GigabitEthernet0/0/0
ip address 123.123.123.27 255.255.255.0 < ???
no ip default-gateway 123.123.123.1
ip route 0.0.0.0 0.0.0.0 gigabitEthernet0/0/0 123.123.123.1 (or) 161.218.133.x
le 27-10-2023 01:45 AM
Désolé de ne pas obtenir ce que vous voulez ici.
Quel préfixe vous ne voulez pas utiliser NATing ?
le 27-10-2023 01:45 AM
Nous voulons
192.168.12.0/24 to NAT out GigabitEthernet0/0/0.
Nous voulons bloquer
192.168.8.0/24
Paquets de sortie
GigabitEthernet0/0/0.
le 27-10-2023 01:45 AM
Pouvez-vous partager
Show ip access-list
Après vous
ping
du sous-réseau .8.0
le 27-10-2023 01:45 AM
Très certainement.
La liste ACL
Deny_Firewall_Access
est dans la configuration, mais n'est pas utilisé pour le moment.
cisco-c1111-8p-01#show ip access-lists
Extended IP access list CISCO-CWA-URL-REDIRECT-ACL
100 deny udp any any eq domain
101 deny tcp any any eq domain
102 deny udp any eq bootps any
103 deny udp any any eq bootpc
104 deny udp any eq bootpc any
105 permit tcp any any eq www
Extended IP access list Deny_Firewall_Access
10 deny ip 192.168.8.0 0.0.0.255 any (7 matches)
20 permit ip 192.168.12.0 0.0.0.255 any (60 matches)
Extended IP access list NAT_Access
10 permit ip 192.168.6.0 0.0.0.255 any
20 permit ip 192.168.7.0 0.0.0.255 any
30 permit ip 192.168.9.0 0.0.0.255 any
40 permit ip 192.168.12.0 0.0.0.255 any
50 permit ip 192.168.100.0 0.0.0.255 any
60 permit ip 192.168.101.0 0.0.0.255 any
70 permit ip 192.168.104.0 0.0.0.255 any
80 permit ip 192.168.105.0 0.0.0.255 any
90 permit ip 192.168.255.0 0.0.0.255 any
100 deny ip 192.168.8.0 0.0.0.255 any
Extended IP access list meraki-fqdn-dns
le 27-10-2023 01:45 AM
10 deny ip 192.168.8.0 0.0.0.255
any (7 correspondances)
Ces 7 correspondances signifient que la liste de contrôle d’accès est un travail
Mais pour être plus sûr ajouter journal à chaque ligne et vérifier le message de journal apparaissent quand
ping
du sous-réseau .8.0
le 27-10-2023 01:45 AM
hello
@bakerjw a écrit :
Je ne m'attendais pas à ce que les plages IP qui n'utilisent pas la fonction NAT envoient leur adresse IP privée via le port connecté à un réseau d'entreprise. Je veux vraiment bloquer ce trafic
La fonction NAT est principalement utilisée pour « masquer » les réseaux. Ainsi, si vous n'avez pas besoin de masquer un certain réseau, vous pouvez l'empêcher de faire l'objet d'une fonction NAT, comme vous l'avez remarqué lors de votre test
exemple :
ip access-list extended NAT_Access
10 deny ip 192.168.8.0 0.0.0.255 any
20 permit ip 192.168.12.0 0.0.0.255 any
Donc, si vous souhaitez que le réseau ne soit pas non plus natté pour ne pas être routé, alors ne l'annoncez pas en externe
Enfin, en examinant votre configuration, vous avez ajouté des
nat/route-map
instructions qui ne se rapportent à aucune liste de contrôle d'accès, plus vous avez besoin d'un
default route
et non un
ip default-gateway
et vous affichez deux adresses ip wan différentes pour la même interface ?
route-map track-primary-if permit 1
match ip address 197 < no acl 197 exists?
set interface GigabitEthernet0/0/0
no ip nat inside source route-map track-primary-if interface GigabitEthernet0/0/0 overload < not required
interface GigabitEthernet0/0/0
ip address 161.218.133.27 255.255.255.0 < ???
interface GigabitEthernet0/0/0
ip address 123.123.123.27 255.255.255.0 < ???
no ip default-gateway 123.123.123.1
ip route 0.0.0.0 0.0.0.0 gigabitEthernet0/0/0 123.123.123.1 (or) 161.218.133.x
le 27-10-2023 01:45 AM
Encore une fois, Paul. Vous avez été très serviable.
Ces instructions que vous avez mentionnées ont été ajoutées par des assistants d'interface Web et ont été supprimées. Parfois, les débutants sont à la merci d'une interface graphique jusqu'à ce que nous sachions mieux.
@paul driver a écrit :
Enfin, en examinant votre configuration, vous avez ajouté des
nat/route-mapinstructions qui ne se rapportent à aucune liste de contrôle d'accès, plus vous avez besoin d'un
default routeet non un
ip default-gatewayet vous affichez deux adresses ip wan différentes pour la même interface ?
route-map track-primary-if permit 1
match ip address 197 < no acl 197 exists?
set interface GigabitEthernet0/0/0
no ip nat inside source route-map track-primary-if interface GigabitEthernet0/0/0 overload < not required
Découvrez et enregistrez vos notes préférées. Revenez pour trouver les réponses d'experts, des guides étape par étape, des sujets récents et bien plus encore.
Êtes-vous nouveau ici? Commencez par ces conseils. Comment utiliser la communauté Guide pour les nouveaux membres
Parcourez les liens directs de la Communauté et profitez de contenus personnalisés en français