PPTP et Port Forwarding HTTP avec NAT statique sur un routeur Cisco

Récemment, un étudiant à l'un de nos séminaires posé des questions sur la redirection de port sur un routeur. Elle voulait permettre aux clients PPTP de se connecter depuis l'extérieur à un serveur VPN à l'intérieur. Dans cet article, je vais vous expliquer comment le faire avec un coup d'œil à l'aide NAT statique pour envoyer des paquets à un serveur Web.

Port Forwarding sur un routeur Cisco

Parfois, nous avons des ressources internes qui doivent être accessible par Internet, comme les serveurs Web, serveurs de messagerie ou des serveurs VPN. En général, je recommande d'isoler ces ressources dans une DMZ pour protéger votre LAN de bureau contre les méchants, mais peu importe comment vous choisissez de le concevoir, le processus implique le transfert des paquets souhaités à partir de l'interface externe du routeur vers un hôte interne. C'est vraiment un processus assez simple. Voici la configuration sur un routeur Cisco 2611:

l'interface ethernet0 / 1

12.1.2.3 255.255.255.0 adresse ip

ip nat à l'extérieur

!

l'interface ethernet0 / 0

192.168.101.1 ip address 255.255.255.0

ip nat intérieur

!

ip nat source de l'intérieur list 101 d'interface ethernet0 / 1 surcharge

ip nat intérieur de source statique tcp 192.168.101.2 interface Ethernet0 1723/1 1723

!

access-list 101 ip permettre à toute une

Dans la configuration ci-dessus, Ethernet 0/1 est relié à l'Internet avec une adresse statique de 12.1.2.3 et Ethernet 0/0 est reliée à l'intérieur du réseau avec une adresse statique 192.168.101.1. En dehors de NAT est configuré sur E0 / 1 et NAT à l'intérieur est configuré sur E0 / 0. Access-list 101 oeuvres en collaboration avec le "nat ip intérieur de la liste source 101 d'interface ethernet0 / 1 overload" déclaration de permettre à tous les hôtes à utiliser à l'intérieur E0 / 1 pour se connecter à Internet quel que soit le partage adresse IP est affectée à l'interface Ethernet E0 / 1 .

La "surcharge" déclaration met en œuvre PAT (Port Address Translation) qui rend cela possible. (PAT permet à plusieurs hôtes de partager internes adresse unique sur une interface externe en ajoutant des numéros de port différents pour chaque connexion.)

La déclaration «ip nat intérieur de source statique 192.168.101.2 tcp 1723 l'interface ethernet0 / 1 1723" prend le port entrant 1723 (PPTP) demandes sur ethernet0 / 1 et les transmet au serveur VPN situé à 192.168.101.2.

Vous pourriez faire la même chose avec un serveur Web en changeant le port 1723 vers le port 80 ou le port 443. Voici ce que devrait ressembler à:

l'interface ethernet0 / 1

12.1.2.3 255.255.255.0 adresse ip

ip nat à l'extérieur

!

l'interface ethernet0 / 0

192.168.101.1 ip address 255.255.255.0

ip nat intérieur

!

ip nat source de l'intérieur list 101 d'interface ethernet0 / 1 surcharge

ip nat intérieur de source statique tcp 192.168.101.2 interface Ethernet0 80/1 80

!

access-list 101 ip permettre à toute une

Dans cet exemple, le serveur Web est situé à 192.168.101.2 et au lieu de l'expédition PPTP (port 1723) de la circulation, nous sommes la transmission HTTP (port 80) de la circulation.

Évidemment, vous pouvez configurer votre routeur Cisco de la même manière de transmettre pratiquement n'importe quel type de trafic d'une interface externe vers un hôte interne.

2008 Don R. Crawley...