Transfert d'une plage de ports (NAT) 2620xm, ios 12.4

http://evilrouters.net/2010/05/25/port-forwarding-a-range-of-ports-on-cisco-ios/

j'ai déjà essayé avec TCP et cela fonctionne très bien

Merki pour ces info....
Les commandes sont bien prisent en compte sur le Cisco donc celà doit être ok, mais mon serveur FTP n'est tjs pas dispo de dehors.....
Port 20, 21, + la plage pour le passif est forwarder (enfin je pense).....
Bon, en même temps faut passer la box, le parefeu et le Cisco.... (Triple NAT.....lol)
J'ai aucun soucis avec les protocoles mono-ports (DNS, RDP, SMTP, etc), mais je vais tout revérifier et faire des tests avec des services plus simple que le FTP....(j'aimerai éviter de me rabattre sur du TFTP... lol)
Merci encore pour les infos......

tu veux faire du ftp passif à travers un triple nat ?
avec adresse publique dynamique en prime ?
il faut aimer les complications :-(
commence par mettre ton cisco en DMZ sur ta box.
De plus, tu n'as pas besoin de 1000 ports pour le ftp, une petite dizaine suffit pour un serveur occasionnel derrière une box
si tu veux un serveur plus public, il faut le mettre chez un hébergeur.

Pour info mon ip public est fixe (+ DNS perso avec nom de domaine perso), derrière la box y'a mon parefeu (en DMZ), dérriere le parefeu y'a 2 réseau (lan, re-dmz pour les services : pop, http, etc) et coté lan y'a le Cisco. Le FTP c'est pour accéder au HDD du PC user que j'utilise tous les jours. C'est vrai que le cisco ne sert à rien mais c'est plus pour le "sport" et pour garder les commandes en tête (au taf on a des Juniper). Quand au fait d'avoir du triple NAT, je vois pas le soucis, si tu sais en passer un t'en passe 3, non ? lol....
Par contre, pour les ports je savais pas trop, du coup vais tester avec seulement une dizaine comme tu dis..... Merki..... ;-)

c'est vrai là je suis dans le faux, mais je n'ai jamais vu ce genre de configuration non plus, dans le monde où je travaille, on n'a quasiment jamais de serveur derrière un nat, ça ne sert que pour des clients.
de plus, quand je regarde la config, c'est plus une access-list qui filtre les ports sur l'interface d'entrée.
En fait,
on doit pouvoir faire la même chose en faisant du nat statique sur adresse uniquement (adresse outside fixe) et en rajoutant une access-list étendue sur l'interface outside.
à vue de nez ....

Heu, c'est clair que la config n'est pas standard...... C'est juste mon tit jouet chez moi.... Célib, studio 23m², mais AD, routeur, dmz, domain name public, dns privé & public,pop, smtp etc......C'est pour garder la main, pour le jeu et pour approfondir mes connaissances..... Vais faire un schéma du réseau physique et le post dans un petit moment......

Tiens, si ça t'intrique là => http://ns-link.fr/1.jpg j'ai mis un schéma rapide du réseau physique.....
Pour la version logique j'oublie pour le moment vu que le Cisco n'a qu'une interface (interfaces virtuelles donc), la plupart des serveurs sont virtuels également dans un Proxmox, le tout via des vlan dans le Cisco c2950.
Tout fonction sauf mon FTP !!!!! Mais vais y arriver..... ;-)

++

on doit pouvoir faire la même chose en faisant du nat statique sur adresse uniquement (adresse outside fixe) et en rajoutant une access-list étendue sur l'interface outside.
à vue de nez ....

Oui effectivement mais les ACL sont stateless et il va donc falloir permettre le traffic de retour tcp et udp plus tous les messages icmp nécessaires à la bonne fonctionnalité du réseau en plus des ports à ouvrir pour le port forwarding.
ici l'ACL ne filtre pas le traffic elle sert pour le NAT(appelée dans une route-map) ce qui est différent.
En fait le TCP rotary NAT sert au départ pour faire du TCP load balancing pour distribuer la charge sur plusieurs serveurs physiques mais on peut l'utiliser pour faire ce que Cooyoo demandait.

Avec du CBAC ça devrait être plus simple aussi, non ?

c'est expérimental ;-)

Salut.

Merci pour les com c'est cool, ça va peut-être me donner des idées.
Pour le LAN coté DMZ c'est juste celle de la box, mais tout est en dmz de la box, y'a le parefeu derrière qui gère réellement.
Un NMAP par le WAN j'ai bien les ports voulu qui sont ouverts, pour les services nécessaires : DNS, POP, SSH, etc.
PS. : le Cisco, je sais, ne sert à rien, faut que je le vire.....

Des ports ouverts pour le DNS, POP etc dans une DMZ... un conseil, ne décolle pas le nez du pare feu et surveille bien ce qui rentre.

Les DMZ ça sert en général comme pot de miel dans les réseaux d'entreprise, Brupala semble s'en servir dans la sienne pour installer un serveur, ce n'est pas indispensable mais c'est possible, il faut bien gérer.

Pour un particulier c'est clairement une c..nerie pour moi, pas besoin de DMZ pour tenir un serveur de jeu ou autre, sur certaines box (Free), en créant une DMZ, il n'y a plus que le pare feu logiciel qui protège, si celui ci est mal géré (du genre Comodo), tu es à poil.

Salut,
une Dmz ce n'est pas seulement autoriser les connexions depuis le net vers des serveurs publics, c'est aussi les bloquer depuis le serveur vers le réseau privé, ce qui n'est pas le cas quand le serveur est dans le réseau privé.
à la façon ipcop:
réseau rouge == internet
réseau orange == dmz
réseau vert == privé
vert >> rouge oui
vert >> orange oui
orange >> rouge oui
orange >> vert non
rouge >> orange oui
rouge >> vert non
ça permet de garder le réseau privé relativement protégé en cas de corruption d'un serveur public.

All 2000 scanned ports on livebox (**.58.116.2*) are filtered (1000) or open|filtered (1000)

Raté!!! C'est une Freebox..... Mais si c'est la DMZ de la box qui te chagrine fais comme ci elle était en bridge (sauf que ce mode ne fonctionne pas plus de 24h), et que c'est le parefeu qui a l'@ ip publique. C'est bon là, tu captes mieux...... ?

" (sauf que ce mode ne fonctionne pas plus de 24h), "


C'est déjà ça.

La Freebox en premier, le pare feu (quoi?) en second avec une DMZ et des ports ouverts, et un Cisco derrière tout ça... moi j'aurais mis le Cisco en second (bien que ça ne serve à rien, la Freebox suffit).

Là tu vas bien capter, mais devine quoi un jour? au mieux tes ports en DMZ sont ouverts/filtrés, ce qui veut dire qu'ils peuvent être accessibles d'internet (ouverts) à un moment ou à un autre.


"... un conseil, ne décolle pas le nez du pare feu et surveille bien ce qui rentre. "


ps: dis aux freenautes qui bricolent pas mal que les pirates réseau détestent nos box françaises et aiment bien les routeurs classiques, et pas le contraire.