PPTP e HTTP Port Forwarding com NAT Estático em um roteador Cisco

Recentemente, um estudante de um dos nossos seminários perguntou sobre o encaminhamento de porta em um roteador. Ela queria permitir que os clientes PPTP para ligar do exterior para um servidor VPN no interior. Neste artigo, vou explicar como fazê-lo, juntamente com um rápido olhar para o uso de NAT estática para transmitir pacotes para um servidor web.

Port Forwarding em um roteador Cisco

Às vezes temos recursos internos que precisam ser acessível pela Internet, tais como servidores web, servidores de correio ou servidores VPN. Geralmente, eu recomendo isolar esses recursos em uma DMZ para proteger sua LAN escritório dos bandidos, mas independentemente de como você escolher para projetá-lo, o processo envolve encaminhamento de pacotes desejados de interface externa do roteador para um host interno. É realmente um processo bastante simples. Aqui está a configuração de um roteador Cisco 2611:

interface Ethernet0 / 1

endereço ip 12.1.2.3 255.255.255.0

ip nat outside

!

interface Ethernet0 / 0

endereço ip 192.168.101.1 255.255.255.0

ip nat dentro

!

ip nat inside source lista 101 interface Ethernet0 / 1 sobrecarga

ip nat inside source static tcp 192.168.101.2 interface Ethernet0 1723/1 1723

!

acesso à lista de ip 101 qualquer qualquer autorização

Na configuração acima, Ethernet 0/1 está ligado à Internet com um endereço estático de 12.1.2.3 e Ethernet 0/0 está ligado à rede interna com um endereço estático de 192.168.101.1. Fora NAT está configurado no E0 / 1 e NAT dentro está configurado no E0 / 0. Acesso-lista 101 obras em conjunto com o "ip nat inside lista de origem 101 interface Ethernet0 / 1 sobrecarga" declaração para permitir que todos os hosts dentro de usar E0 / 1 para se conectar ao compartilhamento de Internet qualquer endereço IP é atribuído a interface Ethernet E0 / 1 .

A "sobrecarga" declaração implementa PAT (Port Address Translation), que torna isso possível. (PAT permite que múltiplos hosts internos para compartilhar um único endereço em uma interface externa, acrescentando números de portas diferentes para cada conexão.)

A declaração "ip nat inside source static tcp 192.168.101.2 interface Ethernet0 1723/1 1723" tem porta de entrada 1723 (PPTP) pedidos em Ethernet0 / 1 e os encaminha para o servidor VPN localizado na 192.168.101.2.

Você poderia fazer algo semelhante com um servidor Web, alterando a porta 1723 para a porta 80 ou 443. Aqui está o que seria parecido com:

interface Ethernet0 / 1

endereço ip 12.1.2.3 255.255.255.0

ip nat outside

!

interface Ethernet0 / 0

endereço ip 192.168.101.1 255.255.255.0

ip nat dentro

!

ip nat inside source lista 101 interface Ethernet0 / 1 sobrecarga

ip nat inside source static tcp 192.168.101.2 80 interface Ethernet0 / 1 80

!

acesso à lista de ip 101 qualquer qualquer autorização

Neste exemplo, o servidor web está localizado em 192.168.101.2 e em vez de encaminhamento de tráfego PPTP (porta 1723), estamos encaminhando HTTP (porta 80) o tráfego.

Obviamente, você pode configurar seu roteador Cisco de forma semelhante de transmitir a quase qualquer tipo de tráfego a partir de uma interface externa para um host interno.

2008 Don R. Crawley...