[lacnog] IPSet en Cisco?
Alejandro Acosta
alejandroacostaalamo en gmail.com
Mie Abr 4 10:39:10 BRT 2018
Hola Manuel,
Voy a atreverme a responder, pero antes tengo que decir que quizás
existan cosas más modernas.
En base a lo que dices, suena tan sencillo como tener un ACL (con
nombre) y luego asociar eso a una sola directiva de NAT.
Te refieres a eso, no?. En tu caso quedaría algo como:
access-list 150 remark NAT-FACEBOOK
access-list 150 permit ip 10.25.62.0 0.0.0.255 188.64.226.0 0.0.0.255
access-list 150 permit ip 10.25.62.0 0.0.0.255 209.237.219.0 0.0.0.255
access-list 150 permit ip 10.25.62.0 0.0.0.255 157.240.14.0 0.0.0.255
ip nat pool FB 200.14.53.3 200.14.53.3 prefix-length 32
ip nat inside source list 150 pool Parmalat overload
Saludos,
Alejandro,
El 4/4/18 a las 8:56 a. m., Manuel José Linares Alvaro escribió:
>
> Gracias por responder Rogerio.
>
>
>
> Me explico mejor.
>
> En varias distribuciones de Linux, con IPTables puedo hacer un NAT
> muy fácilmente.
>
>
>
> Supongamos que deseo hacer un nat solamente con destino a las
> direcciones de Facebook:
>
>
>
> Para ello, si tuviera un soft router usaría ipset para incluir todas
> las direcciones de destino en un solo pool:
>
>
>
> 1- Creo el pool allow-facebook-nets
>
> # ipset create allow-facebook-nets hash:net
>
>
>
> 2- Agrego al pool allow-facebook-net, las direcciones de destino,
> en este caso las de facebook:
>
> # add allow-facebook-nets 188.64.226.0/24
>
> # add allow-facebook-nets 209.237.219.0/24
>
> # add allow-facebook-nets 157.240.14.0/24
>
> ……………
>
>
>
> 3- Luego es sencillo hacer un nat desde un bloque o una ip
> determinada, con destino al pool allow-facebook-net
>
>
>
> # iptables -t nat -A POSTROUTING -s 10.25.62.0/24 -m set --match-set
> allow-facebook-nets dst -o bond0.200 -j SNAT --to 200.14.53.3
>
>
>
> De esta forma agrupo en solo una regla, todo lo que vaya con destino a
> cualquiera de las direcciones de facebook. De lo contrario, tendría
> que poner en mi IPTables cientos de reglas, solución impensable.
>
>
>
> Esto es un ejemplo bastante incompleto…
>
>
>
> Ahora quiero hacer algo similiar, ante la posibilidad de reemplazar un
> router-firewall que tengo sobre fedora-core, por un cisco 2911. Por
> eso pregunto que si en Cisco IOS puedo hacer algo similiar.
>
>
>
> Saludos,
>
>
>
> MAnuel
>
>
>
> *De:*LACNOG [mailto:lacnog-bounces en lacnic.net] *En nombre de *Rogerio
> Mariano
> *Enviado el:* miércoles, 4 de abril de 2018 08:36
> *Para:* Latin America and Caribbean Region Network Operators Group
> *Asunto:* Re: [lacnog] IPSet en Cisco?
>
>
>
> Hola Jorge,
>
>
>
> Tal vez su sugerencia sea el camino más fácil.
>
>
>
> Ejemplo de una traducción que tiene en el IPTables para un NAT tradicional
>
>
>
>
>
> -A POSTROUTING -s 10.5.10.41/32 <http://10.5.10.41/32> -d !
> 10.5.0.0/16 <http://10.5.0.0/16> -j SNAT --to-source xx.yy.124.161
> (sanitised public address)
>
>
>
> Lo traduje como "Para paquetes con una dirección de origen de
> 10.5.10.41 y una dirección de destino fuera del rango 10.5.0.0/16
> <http://10.5.0.0/16>, luego traduzco la dirección de destino a
> xx.yy.124.161
>
>
>
> Sobre esa base, creé la siguiente configuración
>
>
>
> ip access-list extended lacnog1
>
>
>
> deny ip host 10.5.10.41 10.5.0.0 0.0.255.255
>
>
>
> remark denies traffic source 10.5.10.41 dest 10.5.0.0 0.0.255.255
>
>
>
> permit ip host 10.5.10.41 any
>
>
>
> remark permits traffic source 10.5.10.41 to any
>
>
>
> ip nat pool natpool1 xx.yy.124.161 xx.yy.124.161 netmask 255.255.255.252
>
>
>
> ip nat inside source list lacnog1 pool natpool1
>
>
>
>
>
> Un abrazo,
>
>
>
> Rogerio Mariano
>
>
>
> 2018-04-04 8:59 GMT-03:00 Jorge Villa <villa en reduniv.edu.cu
> <mailto:villa en reduniv.edu.cu>>:
>
> Hermano, como estas?
>
>
>
> No se si entiendo bien lo que quieres hacer, pero bueno, te hago
> un par de comentarios.
>
>
>
> Esta variante de usar objetos (que explica José Luis) está
> disponible en Cisco, a partir de IOS 12.4(20)T. Es bastante más
> flexible para algunas cosas que el uso de las tradicionales ACL,
> aunque como tu caso es únicamente con NAT, creando las
> combinaciones y criterios adecuados en una ACL, en teoría, puedes
> solucionarlo sin mayores complicaciones.
>
>
>
> De todos modos, en mi opinión, la mejor manera de hacer esto es
> basado en dominios y no en IP; ya que cualquier red social emplea
> múltiples direcciones IP (acorde a su arquitectura, hosting,
> balanceadores de carga, etc., etc., etc.) y no tienes control
> sobre esto. Así que me parece no te va a ser muy efectivo, en la
> forma en que lo que estás queriendo hacer.
>
>
>
> Saludos,
>
> Jorge
>
>
>
> *De: *LACNOG <lacnog-bounces en lacnic.net
> <mailto:lacnog-bounces en lacnic.net>> en nombre de Jose Luis Gaspoz
> <gaspozj en is.com.ar <mailto:gaspozj en is.com.ar>>
> *Responder a: *Jose Luis Gaspoz <gaspozj en is.com.ar
> <mailto:gaspozj en is.com.ar>>, Latin America and Caribbean Region
> Network Operators Group <lacnog en lacnic.net <mailto:lacnog en lacnic.net>>
> *Fecha: *miércoles, 4 de abril de 2018, 7:39 AM
> *Para: *Manuel José Linares Alvaro <cheche en udg.co.cu
> <mailto:cheche en udg.co.cu>>, Latin America and Caribbean Region
> Network Operators Group <lacnog en lacnic.net <mailto:lacnog en lacnic.net>>
> *Asunto: *Re: [lacnog] IPSet en Cisco?
>
>
>
> Manuel:
>
>
>
> No se si te réferis a esto, se pueden crear objetos de Network y
> si queres también crear grupos de objetos de network .
>
>
>
> También podes crear objetos de servicios y grupo de objetos de
> servicios...
>
>
>
> Ejemplo:
>
>
>
> object network NAGIOS
>
> host 172.16.1.5
>
>
>
> object-group network HOST-PARA-ALGO
>
> network-object subnet 192.168.206.0 255.255.255.0
>
> network-object host 172.20.1.97
>
> network-object host NAGIOS
>
>
>
>
>
> Y en los servicios:
>
> object-group service SERVICIOS-PARA-ALGO tcp
>
> port-object eq 1433
>
> port-object eq www
>
>
>
> o agrupar objetos de servicios en un objeto de grupo de servicios:
>
>
>
> object-group service GRUPO_DE_SERVICIOS
>
> service-object object obj-udp-des-12000
>
> service-object object obj-udp-des-12001
>
> service-object object obj-udp-des-12002
>
> service-object object obj-udp-des-12003
>
> service-object object obj-udp-des-12004
>
>
>
>
>
> Podes definir objetos para origenes o destinos:
>
>
>
> object service obj-tcp-source-range-1025-65535-eq-80
>
> service tcp source any destination eq www
>
>
>
>
>
> Y después lo ocupas donde quieras (NAT, policies routing, filtros,
> inspecciones, ACLs). Acá depende de que equipo sea (router, ISR,
> ASA, etc) va a ser la estructura:
>
>
>
> EJ (no estan los ejemplos de los obj, pero te muestro la estructura):
>
>
>
> nat (Router,outside) source dynamic obj-172.16.0.0
> obj-10.71.176.163 destination static EMULACION1 EMULACION1 service
> obj-tcp-source-range-1025-65535-eq-992 obj-tcp-eq-992
>
>
>
> Saludos
>
>
>
> Ing. Jose Luis Gaspoz
> Internet Services S.A.
> Tel: 0342-4565118
> Cel: 342-5008523
>
>
>
> *From:*Manuel José Linares Alvaro <mailto:cheche en udg.co.cu>
>
> *Sent:*Tuesday, April 03, 2018 10:39 PM
>
> *To:*Latin America and Caribbean Region Network Operators Group
> <mailto:lacnog en lacnic.net>
>
> *Subject:*[lacnog] IPSet en Cisco?
>
>
>
> hola colegas !!
>
>
>
> Una consulta sobre Cisco:
>
>
>
> En la mayoría de las distribuciones de linux existe el ipset,
> servicio que permite hacer un agregado de direcciones IP, lo cual
> facilita luego en firewalls como iptables, referirse mediante un
> solo nombre, a todo un conjunto de direcciones, redes, etc.
>
>
>
> Quisiera hacer algo similar en Cisco, para poder hacer un NAT
> desde mi red interna a redes sociales.
>
>
>
> Repito que en un router / firewall con linux es simple combinando
> ipset con iptables, ahora como implementarlo en cisco? pues no veo
> nada por el estilo a ipset.
>
>
>
> Gracias,
>
>
>
> Manuel.
>
>
> * * * * *
> Universidad de Granma, Bayamo. M.N. <http://www.udg.co.cu>
>
> Imagen del Satélite.
> <http://gestion.udg.co.cu/mrtg/weather/map/today-Bayamo-CUXX0001.jpg>
>
>
>
> Imagen quitada por el remitente.
> <http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient>
>
>
>
> Libre de virus. www.avg.com
> <http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient>
>
>
>
>
> ------------------------------------------------------------------------
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
> _______________________________________________ LACNOG mailing
> list LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
> https://mail.lacnic.net/mailman/listinfo/lacnog Cancelar
> suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
>
>
>
> * * * * *
> Universidad de Granma, Bayamo. M.N. <http://www.udg.co.cu>
>
> Imagen del Satélite.
> <http://gestion.udg.co.cu/mrtg/weather/map/today-Bayamo-CUXX0001.jpg>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20180404/c229455d/attachment-0001.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image001.jpg
Type: image/jpeg
Size: 350 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20180404/c229455d/attachment-0001.jpg>
Más información sobre la lista de distribución LACNOG