|
| Router con NAT one to one |
« Precedente :: Successivo » |
| Autore |
Messaggio
|
| Cruise |
 Inviato: Mar Mag 12, 2009 8:33 am Oggetto: Router con NAT one to one |
 |
|
Registrato: 11/09/08 16:31
Età: 42
Messaggi: 27
|
Avete da consigliare qualche modello di router, compatibile E4A, che abbia la funzione NAT one to one ?
Il wireless non è indispensabile, mentre è indispensabile che il prezzo sia umano 
Saluti Cruise. |
|
| Top |
|
 |
Sponsor
|
|
 |
| r3lative |
| Inviato: Mar Mag 12, 2009 2:18 pm Oggetto: Re: Router con NAT one to one |
|
|
BANNATO
Registrato: 03/05/07 00:27
Messaggi: 7340
Residenza: Saccolongo - PD - ITALY - terzo pianeta a sinistra
|
| Cruise ha scritto: | Avete da consigliare qualche modello di router, compatibile E4A, che abbia la funzione NAT one to one ?
Il wireless non è indispensabile, mentre è indispensabile che il prezzo sia umano
Saluti Cruise. |
ciao
se spieghi meglio cosa vuoi fare, magari è meglio.
_________________
“Mai argomentare con un idiota;
ti fa scendere al suo livello e ti batte per esperienza ”
r3lative blog |
|
| Top |
|
|
| Cruise |
| Inviato: Mar Mag 12, 2009 4:56 pm Oggetto: Re: Router con NAT one to one |
|
|
Registrato: 11/09/08 16:31
Età: 42
Messaggi: 27
|
se spieghi meglio cosa vuoi fare, magari è meglio.[/quote]
Semplicemente poter sfruttare gli ip pubblici che E4A assegna.
Vorrei poter assegnare ad un PC della mia rete un IP fisso pubblico diverso dall'IP della WAN del router.
Stessa cosa potrei fare con l'ATA
Saluti Cruise |
|
| Top |
|
|
| r3lative |
| Inviato: Mar Mag 12, 2009 6:08 pm Oggetto: Re: Router con NAT one to one |
|
|
BANNATO
Registrato: 03/05/07 00:27
Messaggi: 7340
Residenza: Saccolongo - PD - ITALY - terzo pianeta a sinistra
|
| Cruise ha scritto: | | r3lative ha scritto: | | se spieghi meglio cosa vuoi fare, magari è meglio. |
Semplicemente poter sfruttare gli ip pubblici che E4A assegna.
Vorrei poter assegnare ad un PC della mia rete un IP fisso pubblico diverso dall'IP della WAN del router.
Stessa cosa potrei fare con l'ATA
Saluti Cruise |
ok, idee abbastanza confuse.
ho il sospetto che tu intenda uno switch ... e non router/nat, ecc.
semplificando ....
dalla tua antenna arriva un cavo LAN, questo lo puoi connettere direttamente ad un PC, assegnando gli indirizzi pubblici che E4A ti ha fornito. se però hai necessita di installare più apparati (PC + ATA ad esempio) allora devi usare uno switch, ovvero un apparato che ti permette di collegare n dispositivi alla rete senza nessuna funzione di gestione dei dati.
in questo modo puoi collegare fino a 5 dispositivi (gli indirizzi usabili della classe /29 assegnati sono appunto 5).
uno svantaggio è imho il fatto di essere direttamente connessi ad internet, che se da un lato presenta molti vantaggi, dall'altro presenta anche qualche problema di sicurezza.
una soluzione è l'uso di un router con funzione di firewall, questo abilita il NAT che permette di "mascherare" la propria rete, rendendola non accessibile dall'esterno. naturalmente ci sono degli svantaggi quando si parla di p2p, voip, vpn, ecc.
una delle migliori soluzioni IMHO rimane quella di usare uno switch ed un router/firewall/AP.
l'antenna viene collegata all' switch, e allo stesso switch viene collegato l'adattatore ATA, e il router (lato WAN)
i pc vengono invece collegati al router lato LAN.
viene creato quindi un'ambiente con 2 strati di rete, uno "non protetto" accessibile direttamente dall'esterno e adatto ad applicazioni VOIP, ecc. ed un secondo strato "protteto" che non è visibile dall'esterno, e che puo conteneree i vari PC /stampanti lan, ecc.
ciao
_________________
“Mai argomentare con un idiota;
ti fa scendere al suo livello e ti batte per esperienza ”
r3lative blog |
|
| Top |
|
|
| Cruise |
| Inviato: Mer Mag 13, 2009 9:38 am Oggetto: |
|
|
Registrato: 11/09/08 16:31
Età: 42
Messaggi: 27
|
Attualmente la mia configurazione è antenna - SPA Linksys in bridge - router - PC
Funziona tutto ma i PC sotto router vengono nattati tutti con L'IP lato WAN del router.
Vorrei, alla bisogna, nattare un PC sotto router su un IP pubblico tutto suo, fare quello che si dice un NAT one to one ( invece del classico one to many) e quindi mi serve un router che supporti questa funzione.
Purtroppo quelli che ho trovato o costano un botto o hanno il modem incorporato 
Saluti Cruise. |
|
| Top |
|
|
| r3lative |
| Inviato: Mer Mag 13, 2009 10:27 am Oggetto: |
|
|
BANNATO
Registrato: 03/05/07 00:27
Messaggi: 7340
Residenza: Saccolongo - PD - ITALY - terzo pianeta a sinistra
|
| Cruise ha scritto: | Attualmente la mia configurazione è antenna - SPA Linksys in bridge - router - PC
Funziona tutto ma i PC sotto router vengono nattati tutti con L'IP lato WAN del router.
Vorrei, alla bisogna, nattare un PC sotto router su un IP pubblico tutto suo, fare quello che si dice un NAT one to one ( invece del classico one to many) e quindi mi serve un router che supporti questa funzione.
Purtroppo quelli che ho trovato o costano un botto o hanno il modem incorporato
Saluti Cruise. |
ok
allora i vari *WRT hanno la possibilita di configurare una rimappatura one-to-one (di solito si chiama NAT statico), quindi un qualsiasi wrt54gl + open-wrt (o dd-wrt) ti risolve il problema a bassissimo costo.
ma ti assicuro che non ho ancora capito a cosa ti serve bucare firewall e nat.
se devi pubblicare servizi, basta redirigere le porte necessarie. non serve pubblicare tutto un pc. tra l'altro un pc su rete protetta, e quindi rendi la tua rete completamente non protetta.
dal punto di vista sicurezza, mi sembra un suicidio.
se hai proprio bisogno, pensa ad una soluzione più "sensata" ...
un piccolo switch con collegati antenna, spa o pap , router (wrt54gl+openwrt) lato wan
con openwrt puoi creare delle dmz (una per ogni porta lan) e quindi collegare il pc "pubblico" sulla dmz
le altre porte le configuri su una terza rete "LAN sicura" a cui colleghi i tuoi PC (o usi uno switch)
configuri un paio di regole su openwrt(wrt54gl)
traffico abilitato da LAN a DMZ
traffico bloccato da DMZ a LAN
redirigi alcune porte (solo quelle che servono) verso la DMZ
ecc
semplice e molto funzionale.
se hai un pc (anche di recupero) da poter usare, puoi infilarci IPCop, o pfsense, ecc e hai anche una gestione molto raffinata e sicura di tutto l'ambaradan.
piccola nota.
io non farei una configurazione di quel tipo per nessun motivo.
se un cliente ma la chiede, non la faccio. se insiste, gli faccio firmare un foglio in cui il cliente si assume tutta la responsabilita, e attesta che io l'ho caldamente sconsigliato.
ripeto. dal punto di vista della sicurezza è un suicidio.
PS
se spieghi a cosa ti serve, magari troviamo una soluzione alternativa.
p2p?? vpn ?? telecontrollo del PC ??
ciao
_________________
“Mai argomentare con un idiota;
ti fa scendere al suo livello e ti batte per esperienza ”
r3lative blog |
|
| Top |
|
|
| Cruise |
| Inviato: Mer Mag 13, 2009 1:34 pm Oggetto: |
|
|
Registrato: 11/09/08 16:31
Età: 42
Messaggi: 27
|
In futuro volevo cimentarmi con il telecontrollo, per ora era solo una richiesta in vista del cambio dell'attuale router.
Volevo acquistarne uno che avesse anche la funzione NAT one to one
Saluti Cruise. |
|
| Top |
|
|
| r3lative |
| Inviato: Mer Mag 13, 2009 2:29 pm Oggetto: |
|
|
BANNATO
Registrato: 03/05/07 00:27
Messaggi: 7340
Residenza: Saccolongo - PD - ITALY - terzo pianeta a sinistra
|
| Cruise ha scritto: | In futuro volevo cimentarmi con il telecontrollo, per ora era solo una richiesta in vista del cambio dell'attuale router.
Volevo acquistarne uno che avesse anche la funzione NAT one to one
Saluti Cruise. |
ok, questo l'avevo capito.
ma non hai dato ancora una motivazione sensata per usare questa cosa.
ovviamente non che siano affari miei.
semplicemente non vedo nessuna motivazione valida (che non siano tunel strani) per mettere in piedi una cosa di questo tipo 
ciao
_________________
“Mai argomentare con un idiota;
ti fa scendere al suo livello e ti batte per esperienza ”
r3lative blog |
|
| Top |
|
|
| karyal |
| Inviato: Mer Mag 13, 2009 2:32 pm Oggetto: |
|
|
2° avvertimento
Registrato: 06/01/07 22:24
Età: 35
Messaggi: 6963
|
| Cruise ha scritto: | In futuro volevo cimentarmi con il telecontrollo, per ora era solo una richiesta in vista del cambio dell'attuale router.
|
uhm... scusa la domanda scema ma... perche' fare NAT one to one, con tutte le rogne annesse e connesse di un nat, quando hai gli ip pubblici (il cui scopo e' proprio non costringerti a ricorrere al nat)?
Il senso del nat one to one e' di trasferire le richieste di un ip pubblico ad un ip privato dietro la macchina che fa nat perche NON avendo abbastanza ip pubblici sei costretto a mettere una macchina dietro nat e reindirizzare tutte le richieste a quell'ip pubblico verso un server interno.
Ma nel momento in cui hai X macchine da rendere completamente accessibili dall'esterno (perche' con una nat 1:1 le rendi accessibili completamente, capirei la differenza se volessi fare un PAT), non fai infinitamente prima a non usare nessun nat e assegnare semplicemente un ip pubblico?
Ti basta mettere uno switch a cui colleghi server, router e4a e router privato tuo..
| Citazione: |
Volevo acquistarne uno che avesse anche la funzione NAT one to one
Saluti Cruise. |
Se devi assicurarti che abbia qualcosa di davvero utile verifica che supporti IPv6 
PS: Storiella tragica dal gruppo di lavoro IPv6 di RIPE
Al commerciale (di alto livello) di $NOTOGRANDEOPERATORE viene chiesto lo stato dello sviluppo IPv6 della loro rete, in vista di un possibile acquisto di servizi.
Il commerciale candidamente risponde che non vede il senso della domanda: La loro rete e' perfettamente funzionante su IPv4, non ha richiesta di connettivita' IPv6 fra i clienti che segue, e comunque non gli risulta che ci sia alcun interessa da parte degli ingegneri di $NOTOGRANDEOPERATORE a sviluppare IPv6, non avendo ancora iniziato l'attivazione e vendita di servizi IPv5 |
|
| Top |
|
|
| dragon |
| Inviato: Mer Mag 13, 2009 3:11 pm Oggetto: |
|
|
Registrato: 25/02/07 13:21
Età: 29
Messaggi: 1226
Residenza: Lugo di Vicenza
|
| karyal ha scritto: |
PS: Storiella tragica dal gruppo di lavoro IPv6 di RIPE
Al commerciale (di alto livello) di $NOTOGRANDEOPERATORE viene chiesto lo stato dello sviluppo IPv6 della loro rete, in vista di un possibile acquisto di servizi.
Il commerciale candidamente risponde che non vede il senso della domanda: La loro rete e' perfettamente funzionante su IPv4, non ha richiesta di connettivita' IPv6 fra i clienti che segue, e comunque non gli risulta che ci sia alcun interessa da parte degli ingegneri di $NOTOGRANDEOPERATORE a sviluppare IPv6, non avendo ancora iniziato l'attivazione e vendita di servizi IPv5 |
_________________
"stanco di ripetere sempre le solite cose" |
|
| Top |
|
|
| dev/null |
| Inviato: Mer Mag 13, 2009 4:23 pm Oggetto: |
|
|
Registrato: 13/09/07 16:33
Età: 22
Messaggi: 1091
Residenza: JN55VL
|
Che dire, viva i commerciali 
_________________
The ideas of economists and political philosophers, both when they are right and when they are wrong, are more powerful than is commonly understood. Indeed the world is ruled by little else. Practical men, who believe themselves to be quite exempt from any intellectual influence, are usually the slaves of some defunct economist. Madmen in authority, who hear voices in the air, are distilling their frenzy from some academic scribbler of a few years back. I am sure that the power of vested interests is vastly exaggerated compared with the gradual encroachment of ideas. -- J.M. Keynes |
|
| Top |
|
|
| Cruise |
| Inviato: Gio Mag 14, 2009 10:06 pm Oggetto: |
|
|
Registrato: 11/09/08 16:31
Età: 42
Messaggi: 27
|
Attenzione che il miglior commerciale è quello che non sa cosa stà vendento !
E non è una battuta.
Saluti Cruise. |
|
| Top |
|
|
| marte_57 |
| Inviato: Gio Mag 14, 2009 11:00 pm Oggetto: |
|
|
BANNATO
Registrato: 21/01/07 11:12
Età: 54
Messaggi: 3968
|
| Citazione: | | non avendo ancora iniziato l'attivazione e vendita di servizi IPv5 |
da ora le barzellete sui carabinieri, sono osbolete.....basta sostituire "maresciallo" e appuntato con ingegnere$notograndepoeratore e commerciale$notograndeoperatore
 
poveri noi come siamo presi male
_________________
LEGGETE IL REGOLAMENTO
Stretta la Foglia
Larga la Via...
www.meteoborso.altervista.org
http://62.149.166.243/mappe/GoogleMaps.php
DEDICATO A TUTTI I "BLABLABLA"
  |
|
| Top |
|
|
| Sandokan |
| Inviato: Ven Mag 15, 2009 1:26 am Oggetto: |
|
|
Registrato: 10/07/07 16:54
Età: 36
Messaggi: 181
Residenza: Campodoro (PD)
|
Ritornando alla domanda di Cruise, con un router tipo lo Zyxel ZyWall 2 Plus (o simili) si puo' fare tranquillamente un NAT 1:1 (l'ho fatto proprio oggi) su LAN o su DMZ (la DMZ puoi creartela, basta decidere su quale porta) non serve nemmeno prendere un PIX della Cisco.
Quello che non capisco e' perche' Karyal dice che con il NAT 1:1 pubblichi tutta la macchina.
Nel mio caso dovevo pubblicare alcuni siti web e un sito ftp che risiedono su macchine diverse in DMZ (non sto qui a spiegarvi il perche') utilizzando porte standard (80, 21-20, 443) sia internamente che esternamente (quindi servono piu' IP pubblici), di conseguenza ho usato il NAT 1:1 verso gli IP in DMZ (ovviamente niente port forwarding).
Pero' non e' vero che nel far questo le macchine sono completamente esposte su internet, perche' e' necessario impostare delle regole nel firewall per far passare il traffico, altrimenti dall'interfaccia outside alla dmz non passa un bel niente.
Ovvio che a questo punto apro solo le porte che mi servono e non "any".
La stessa cosa si puo' fare anche per una macchina in inside (anche se non mi sembra una buona idea).
Che poi sia preferibile che la macchina attaccata dagli hacker sia in outside con un ip pubblico piuttosto che in dmz o peggio in inside, e' un altro discorso, ma personalmente mi fa un po' paura collegare in outside per es. una macchina Windows 2000 Server con IIS (nel mio caso era cosi'), anche con buon un firewall software installato sopra, e sperare che non venga devastata.
Forse mi e' sfuggito qualcosa?
Se si, illuminatemi.
Sandokan.
_________________
Ex utente E4A - 6144/6144 MCR 512
La violenza è l'ultimo rifugio degli incapaci.
(Isaac Asimov) |
|
| Top |
|
|
| r3lative |
| Inviato: Ven Mag 15, 2009 3:46 am Oggetto: |
|
|
BANNATO
Registrato: 03/05/07 00:27
Messaggi: 7340
Residenza: Saccolongo - PD - ITALY - terzo pianeta a sinistra
|
| Sandokan ha scritto: | Ritornando alla domanda di Cruise, con un router tipo lo Zyxel ZyWall 2 Plus (o simili) si puo' fare tranquillamente un NAT 1:1 (l'ho fatto proprio oggi) su LAN o su DMZ (la DMZ puoi creartela, basta decidere su quale porta) non serve nemmeno prendere un PIX della Cisco.
Quello che non capisco e' perche' Karyal dice che con il NAT 1:1 pubblichi tutta la macchina.
Nel mio caso dovevo pubblicare alcuni siti web e un sito ftp che risiedono su macchine diverse in DMZ (non sto qui a spiegarvi il perche') utilizzando porte standard (80, 21-20, 443) sia internamente che esternamente (quindi servono piu' IP pubblici), di conseguenza ho usato il NAT 1:1 verso gli IP in DMZ (ovviamente niente port forwarding).
Pero' non e' vero che nel far questo le macchine sono completamente esposte su internet, perche' e' necessario impostare delle regole nel firewall per far passare il traffico, altrimenti dall'interfaccia outside alla dmz non passa un bel niente.
Ovvio che a questo punto apro solo le porte che mi servono e non "any".
La stessa cosa si puo' fare anche per una macchina in inside (anche se non mi sembra una buona idea).
Che poi sia preferibile che la macchina attaccata dagli hacker sia in outside con un ip pubblico piuttosto che in dmz o peggio in inside, e' un altro discorso, ma personalmente mi fa un po' paura collegare in outside per es. una macchina Windows 2000 Server con IIS (nel mio caso era cosi'), anche con buon un firewall software installato sopra, e sperare che non venga devastata.
Forse mi e' sfuggito qualcosa?
Se si, illuminatemi.
Sandokan. |
imho parti da un concetto molto sbagliato.
le macchine che citi (pix e zywall) non sono router, ma firewall. le funzioni di router, NAT, & co sono un "di più" per queste macchine.
per quanto riguarda il discorso NAT 1:1 e la pubblicazione della macchina. quanto dice kayral è corretto. quando attivi il NAT 1:1 di fatto pubblichi tutta la macchina, tu limita la visibilita solo grazie ai filtri del firewall, altrimenti sarebbe completamente esposta.
l'unica differenza (dal punto di vista risultato) con il nat + portforward è che cosi non alteri l'header del pacchetto IP (forse), e quindi riesci a usare IPSec (solo per fare un nome).
nel tuo caso si poteva usare il port-forward senza problemi. per accedere dall'interno ci sono delle opzioni attivabili che permettono il "loopback" oppure come faccio io di solito imposto i valori "corretti" nel dns interno semplice e pulito
non ho ben capito in discorso di inside/outside e firewall sw.
poi sono sicuro che hai sbagliato. sicuramente non hai scritto win 2000. certamente volevi scrivere 2003 o 2008, ma non certamente 2000
in ogni caso io quando ho macchine che devono essere esposte, piazzo un bel firewall (*nix : IPCop, pfsense, m0n0wall, ecc) e gestisco tutto da li.
dal punto di vista costo/flessibilita non c'è paragone con le macchine "classiche". e come sicurezza, direi che siamo sullo stesso livello. anzi imho la sicurezza implementata è superiore alle macchine "proconfigurate" tipo zywall, dove l'utente medio pensa che sia sufficiente attaccare i cavi per garantire al sicurezza della lan. mentre su macchine più "complesse" tipo il pix, o le macchine *nix c'è un consulente (sperando non sia un cane) che dovrebbe dare delle linee generali sulla sicurezza, ed impostare tutta una serie di servizi per garantirla.
si, lo so ... zywall un tanto al chilo
PS pur non essendo un sostenitore di cisco, non considerare PIX e zywall sullo stesso piano, sono proprio due mondi separati. in tutti i sensi. personalmente non mi piacciono entrambi
_________________
“Mai argomentare con un idiota;
ti fa scendere al suo livello e ti batte per esperienza ”
r3lative blog |
|
| Top |
|
|
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
|
|
REGOLAMENTO
