---

Jeg har investeret i en hardware firewall til min Cybercity adsl
forbindelse. Derfor ønsker jeg kun at bruge cisco 677 Modem/router som
modem, og overlade NAT mm til firewallen.
Er der en simpel måde at gøre dette?
Skal alt traffik forwardes til firewallen eller er der en funktion så man
"slår routeren fra" i cisco'en?

---

"Niels" <nielsFJERNDETTE@indbakke.dk> writes:

> Jeg har investeret i en hardware firewall til min Cybercity adsl
> forbindelse. Derfor ønsker jeg kun at bruge cisco 677 Modem/router som
> modem, og overlade NAT mm til firewallen.
> Er der en simpel måde at gøre dette?
> Skal alt traffik forwardes til firewallen eller er der en funktion så man
> "slår routeren fra" i cisco'en?

Du kan godt slå NAT fra i routeren og overføre alt trafik til firewallen,
men det kræver svjv. at firewallen har en offentlig ip.

---

Martin Schultz <di020172@NO.SPAM.diku.dk>, wrote in
<news:rdnznuba61t.fsf@fjalar.diku.dk>:

> "Niels" <nielsFJERNDETTE@indbakke.dk> writes:
>
>> Jeg har investeret i en hardware firewall til min Cybercity adsl
>> forbindelse. Derfor ønsker jeg kun at bruge cisco 677 Modem/router som
>> modem, og overlade NAT mm til firewallen.
>> Er der en simpel måde at gøre dette?
>> Skal alt traffik forwardes til firewallen eller er der en funktion så man
>> "slår routeren fra" i cisco'en?
>
> Du kan godt slå NAT fra i routeren og overføre alt trafik til firewallen,
> men det kræver svjv. at firewallen har en offentlig ip.

Ja, man kan slå NAT fra - men det understøtter Cybercity ikke. Så skal du
købe Global IP.
Du kan tilgengæld forwarde alle porte ind til din firewall:

set nat entry add 10.0.0.2 1-65535 217.157.x.x 1-65535 tcp
set nat entry add 10.0.0.2 1-65535 217.157.x.x 1-65535 udp

Det er ikke helt det samme - men næsten.

--
Anders Lund - spam2002q3@andersonline.dk
OE-QuoteFix - Et Outlook Express must - http://flash.to/oe-quotefix
Soldat - Grineren Worms/Counter Strike spil - http://www.soldat.prv.pl

---

Anders Lund wrote:
>
> Ja, man kan slå NAT fra - men det understøtter Cybercity ikke. Så skal du
> købe Global IP.
> Du kan tilgengæld forwarde alle porte ind til din firewall:
>
> set nat entry add 10.0.0.2 1-65535 217.157.x.x 1-65535 tcp
> set nat entry add 10.0.0.2 1-65535 217.157.x.x 1-65535 udp
>
> Det er ikke helt det samme - men næsten.

Det lyder umiddelbart som en god idé. Om der er en eller to
gange nat burde ikke gøre nogen forskel for klienterne, det
er kun nødvendigt at sætte denne forwarding op, hvis du
også vil køre servere bagved firewallen.

Jeg kan endda forestille mig et trick mere, som nogen måske
ville finde brugbart i dette scenarie. Man kunne give en af
maskinerne bagved firewallen samme IP addresse som modemets
eksterne IP. Firewallen vil aldrig se denne IP udefra pga.
NAT i modemet, og omvendt vil modemet aldrig se denne IP
indefra pga. NAT i firewallen. Men for computeren der får
tildelt denne IP kan det muligvis være en fordel, at der er
overenstemelse mellem dens egen opfatelse af IP addresse,
og andre maskiner på nettets opfatelse. (Men da de fleste
protokoller fungerer udmærket gennem NAT er der langt
mellem anvendelser for dette trick.)

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk