Acheter ou Renouveler
Acheter ou Renouveler
annuler
Activer les suggestions
La fonction de suggestion automatique permet d'affiner rapidement votre recherche en suggérant des correspondances possibles au fur et à mesure de la frappe.
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
Nouveau sujet
419
Visites
0
Compliment
7
Réponses

ACL pour NAT et blocage du trafic WAN sortant

Accéder à la solution
Translator
Community Manager
Community Manager

le ‎27-10-2023 01:43 AM - dernière modification le ‎27-10-2023 04:09 PM par Community Manager

Merci à la communauté d'avoir accepté certaines de mes questions et de m'avoir aidé à en savoir plus sur les routeurs Cisco. Récemment, un utilisateur m'a aidé à exécuter la fonction NAT sur notre routeur en utilisant une adresse IP unique sur

GigbitEthernet0/0/0

à un réseau d'entreprise. Pour accéder à la NAT. Nous utilisons une ACL pour autoriser des plages IP spécifiques à utiliser la NAT. Ça marche comme prévu. Super ! 

Je ne m'attendais pas à ce que les plages IP qui n'utilisent pas la fonction NAT envoient leur adresse IP privée via le port connecté à un réseau d'entreprise. Je veux vraiment bloquer ce trafic.

La liste de contrôle d’accès permettant aux sous-réseaux d’utiliser NAT est NAT_Access
J'ai également créé une liste de contrôle d'accès nommée

Deny_Firewall_Access

pour bloquer l'accès à la

GigabitEthernet0/0/0

port.

Pour les tests, j'ai

192.168.12.0/24

configuré pour NAT et

192.168.8.0/24

configuré pour ne pas utiliser NAT.

Les sections pertinentes de notre configuration en cours sont présentées ici.
!

interface GigabitEthernet0/0/0
ip address 123.123.123.27 255.255.255.0
ip nat outside
negotiation auto
spanning-tree portfast disable
!
!
interface Vlan108
ip address 192.168.8.1 255.255.255.0
ip helper-address 192.168.0.3
!
interface Vlan112
ip address 192.168.12.1 255.255.255.0
ip helper-address 192.168.0.3
ip nat inside
!
!
ip default-gateway 123.123.123.1
ip http server
ip http authentication local
ip http secure-server
ip http client source-interface GigabitEthernet0/0/1
ip forward-protocol nd
!
ip nat pool NAT_Pool 123.123.123.27 123.123.123.27 prefix-length 24
ip nat inside source route-map track-primary-if interface GigabitEthernet0/0/0 overload
ip nat inside source list NAT_Access pool NAT_Pool overload
!
ip access-list extended Deny_Firewall_Access
10 deny ip 192.168.8.0 0.0.0.255 any
20 permit ip 192.168.12.0 0.0.0.255 any
ip access-list extended NAT_Access
10 permit ip 192.168.12.0 0.0.0.255 any
20 deny ip 192.168.8.0 0.0.0.255 any   <--- Not really needed as I have seen
!
route-map track-primary-if permit 1
match ip address 197
set interface GigabitEthernet0/0/0
!

J'ai essayé d'utiliser 

Deny_Firewall_Access ACL

bloquer l'accès à

GigabitEthernet0/0/0

avec cette configuration, mais il a interféré avec la NAT.

!
interface GigabitEthernet0/0/0
ip address 161.218.133.27 255.255.255.0
ip nat outside
ip access-group Deny_Firewall_Access out
negotiation auto
spanning-tree portfast disable

Je suppose qu'il me manque un concept ou que je cours dans le mauvais terrier de lapin. 
Les conseils sont appréciés.

Étiquettes :
0 Compliments
1 SOLUTION APPROUVÉE

Solutions approuvées

Accéder à la solution
Translator
Community Manager
Community Manager

le ‎27-10-2023 01:45 AM

hello

@bakerjw a écrit :

Je ne m'attendais pas à ce que les plages IP qui n'utilisent pas la fonction NAT envoient leur adresse IP privée via le port connecté à un réseau d'entreprise. Je veux vraiment bloquer ce trafic

La fonction NAT est principalement utilisée pour « masquer » les réseaux. Ainsi, si vous n'avez pas besoin de masquer un certain réseau, vous pouvez l'empêcher de faire l'objet d'une fonction NAT, comme vous l'avez remarqué lors de votre test

exemple :

ip access-list extended NAT_Access
10 deny ip 192.168.8.0 0.0.0.255 any 
20 permit ip 192.168.12.0 0.0.0.255 any

Donc, si vous souhaitez que le réseau ne soit pas non plus natté pour ne pas être routé, alors ne l'annoncez pas en externe

Enfin, en examinant votre configuration, vous avez ajouté des

nat/route-map

instructions qui ne se rapportent à aucune liste de contrôle d'accès, plus vous avez besoin d'un

default route

et non un

ip default-gateway

et vous affichez deux adresses ip wan différentes pour la même interface ?


route-map track-primary-if permit 1 
match ip address 197 < no acl 197 exists?
set interface GigabitEthernet0/0/0

no ip nat inside source route-map track-primary-if interface GigabitEthernet0/0/0 overload < not required

interface GigabitEthernet0/0/0
ip address 161.218.133.27 255.255.255.0  < ???

interface GigabitEthernet0/0/0
ip address 123.123.123.27 255.255.255.0  < ???

no ip default-gateway 123.123.123.1 
ip route 0.0.0.0 0.0.0.0 gigabitEthernet0/0/0 123.123.123.1 (or)  161.218.133.x

 

Voir la solution dans l'envoi d'origine

0 Compliments
7 RÉPONSES 7

Accéder à la solution
Translator
Community Manager
Community Manager

le ‎27-10-2023 01:45 AM

Désolé de ne pas obtenir ce que vous voulez ici.

Quel préfixe vous ne voulez pas utiliser NATing ?

0 Compliments

Accéder à la solution
Translator
Community Manager
Community Manager

le ‎27-10-2023 01:45 AM

Nous voulons

192.168.12.0/24 to NAT out GigabitEthernet0/0/0.


Nous voulons bloquer

192.168.8.0/24

Paquets de sortie 

GigabitEthernet0/0/0.
0 Compliments

Accéder à la solution
Translator
Community Manager
Community Manager
En réponse à Translator

le ‎27-10-2023 01:45 AM

Pouvez-vous partager

Show ip access-list

 Après vous

ping

du sous-réseau .8.0

0 Compliments

Accéder à la solution
Translator
Community Manager
Community Manager

le ‎27-10-2023 01:45 AM

Très certainement.
La liste ACL 

Deny_Firewall_Access

est dans la configuration, mais n'est pas utilisé pour le moment.

cisco-c1111-8p-01#show ip access-lists
Extended IP access list CISCO-CWA-URL-REDIRECT-ACL
100 deny udp any any eq domain
101 deny tcp any any eq domain
102 deny udp any eq bootps any
103 deny udp any any eq bootpc
104 deny udp any eq bootpc any
105 permit tcp any any eq www
Extended IP access list Deny_Firewall_Access
10 deny ip 192.168.8.0 0.0.0.255 any (7 matches)
20 permit ip 192.168.12.0 0.0.0.255 any (60 matches)
Extended IP access list NAT_Access
10 permit ip 192.168.6.0 0.0.0.255 any
20 permit ip 192.168.7.0 0.0.0.255 any
30 permit ip 192.168.9.0 0.0.0.255 any
40 permit ip 192.168.12.0 0.0.0.255 any
50 permit ip 192.168.100.0 0.0.0.255 any
60 permit ip 192.168.101.0 0.0.0.255 any
70 permit ip 192.168.104.0 0.0.0.255 any
80 permit ip 192.168.105.0 0.0.0.255 any
90 permit ip 192.168.255.0 0.0.0.255 any
100 deny ip 192.168.8.0 0.0.0.255 any
Extended IP access list meraki-fqdn-dns
0 Compliments

Accéder à la solution
Translator
Community Manager
Community Manager
En réponse à Translator

le ‎27-10-2023 01:45 AM 

10 deny ip 192.168.8.0 0.0.0.255

any (7 correspondances)

Ces 7 correspondances signifient que la liste de contrôle d’accès est un travail 

Mais pour être plus sûr ajouter journal à chaque ligne et vérifier le message de journal apparaissent quand

ping

du sous-réseau .8.0 

0 Compliments

Accéder à la solution
Translator
Community Manager
Community Manager

le ‎27-10-2023 01:45 AM

hello

@bakerjw a écrit :

Je ne m'attendais pas à ce que les plages IP qui n'utilisent pas la fonction NAT envoient leur adresse IP privée via le port connecté à un réseau d'entreprise. Je veux vraiment bloquer ce trafic

La fonction NAT est principalement utilisée pour « masquer » les réseaux. Ainsi, si vous n'avez pas besoin de masquer un certain réseau, vous pouvez l'empêcher de faire l'objet d'une fonction NAT, comme vous l'avez remarqué lors de votre test

exemple :

ip access-list extended NAT_Access
10 deny ip 192.168.8.0 0.0.0.255 any 
20 permit ip 192.168.12.0 0.0.0.255 any

Donc, si vous souhaitez que le réseau ne soit pas non plus natté pour ne pas être routé, alors ne l'annoncez pas en externe

Enfin, en examinant votre configuration, vous avez ajouté des

nat/route-map

instructions qui ne se rapportent à aucune liste de contrôle d'accès, plus vous avez besoin d'un

default route

et non un

ip default-gateway

et vous affichez deux adresses ip wan différentes pour la même interface ?


route-map track-primary-if permit 1 
match ip address 197 < no acl 197 exists?
set interface GigabitEthernet0/0/0

no ip nat inside source route-map track-primary-if interface GigabitEthernet0/0/0 overload < not required

interface GigabitEthernet0/0/0
ip address 161.218.133.27 255.255.255.0  < ???

interface GigabitEthernet0/0/0
ip address 123.123.123.27 255.255.255.0  < ???

no ip default-gateway 123.123.123.1 
ip route 0.0.0.0 0.0.0.0 gigabitEthernet0/0/0 123.123.123.1 (or)  161.218.133.x

 

0 Compliments

Accéder à la solution
Translator
Community Manager
Community Manager
En réponse à Translator

le ‎27-10-2023 01:45 AM

Encore une fois, Paul. Vous avez été très serviable. 

Ces instructions que vous avez mentionnées ont été ajoutées par des assistants d'interface Web et ont été supprimées. Parfois, les débutants sont à la merci d'une interface graphique jusqu'à ce que nous sachions mieux. 

@paul driver a écrit :

Enfin, en examinant votre configuration, vous avez ajouté des

nat/route-map

instructions qui ne se rapportent à aucune liste de contrôle d'accès, plus vous avez besoin d'un

default route

et non un

ip default-gateway

et vous affichez deux adresses ip wan différentes pour la même interface ?

route-map track-primary-if permit 1 
match ip address 197 < no acl 197 exists?
set interface GigabitEthernet0/0/0

no ip nat inside source route-map track-primary-if interface GigabitEthernet0/0/0 overload < not required
0 Compliments

Liens rapides

Parcourez les liens directs de la Communauté et profitez de contenus personnalisés en français

Partager un document Rédiger un blog Vidéos R&S
Customers Also Viewed These Support Documents