[lacnog] IPSet en Cisco?

Rogerio Mariano rsouza.rjo en gmail.com
Mie Abr 4 10:46:54 BRT 2018


Hola Manuel,

Respondendo sua pergunta...

"Ahora quiero hacer algo similiar, ante la posibilidad de reemplazar un
router-firewall que tengo sobre fedora-core, por un cisco 2911. Por eso
pregunto que si en Cisco IOS puedo hacer algo similiar"

Creo que el 2911 como software IOS Firewall hace lo que usted desea, sé que
con un Internal Service Module (ISM) o SRE Service Module (SM) ) esto se
puede lograr, pero realmente sólo leer el release notes de la versión de
IOS que usted anhela para saber si la traducción de IPTables es compatible
con el IOS (solo software). También le aconsejo hacer un laboratorio de
mesa, inserte la versión en el 2911 y prueba antes de poner en producción,
si todo ocurre bien, haga una ventana de mantenimiento controlada con un
plan de rollback para que no se sorprenda. También busque drawbacks de la
versión de IOS que usted desea con otras características que usted utiliza
en su red hoy.

Saludos,

Rogerio Mariano

2018-04-04 9:56 GMT-03:00 Manuel José Linares Alvaro <cheche en udg.co.cu>:

> Gracias por responder Rogerio.
>
>
>
> Me explico mejor.
>
> En varias distribuciones de Linux, con IPTables puedo hacer un NAT muy
> fácilmente.
>
>
>
> Supongamos que deseo hacer un nat solamente con destino a las direcciones
> de Facebook:
>
>
>
> Para ello, si tuviera un soft router usaría ipset para incluir todas las
> direcciones de destino en un solo pool:
>
>
>
> 1-      Creo el pool allow-facebook-nets
>
> # ipset create allow-facebook-nets hash:net
>
>
>
> 2-      Agrego al pool allow-facebook-net, las direcciones de destino, en
> este caso las de facebook:
>
> # add allow-facebook-nets 188.64.226.0/24
>
> # add allow-facebook-nets 209.237.219.0/24
>
> # add allow-facebook-nets 157.240.14.0/24
>
> ……………
>
>
>
> 3-      Luego es sencillo hacer un nat desde un bloque o una ip
> determinada, con destino al pool allow-facebook-net
>
>
>
> # iptables -t nat -A POSTROUTING -s 10.25.62.0/24 -m set --match-set
> allow-facebook-nets dst -o bond0.200 -j SNAT --to 200.14.53.3
>
>
>
> De esta forma agrupo en solo una regla, todo lo que vaya con destino a
> cualquiera de las direcciones de facebook. De lo contrario, tendría que
> poner en mi IPTables cientos de reglas, solución impensable.
>
>
>
> Esto es un ejemplo bastante incompleto…
>
>
>
> Ahora quiero hacer algo similiar, ante la posibilidad de reemplazar un
> router-firewall que tengo sobre fedora-core, por un cisco 2911. Por eso
> pregunto que si en Cisco IOS puedo hacer algo similiar.
>
>
>
> Saludos,
>
>
>
> MAnuel
>
>
>
> *De:* LACNOG [mailto:lacnog-bounces en lacnic.net] *En nombre de *Rogerio
> Mariano
> *Enviado el:* miércoles, 4 de abril de 2018 08:36
> *Para:* Latin America and Caribbean Region Network Operators Group
>
> *Asunto:* Re: [lacnog] IPSet en Cisco?
>
>
>
> Hola Jorge,
>
>
>
> Tal vez su sugerencia sea el camino más fácil.
>
>
>
> Ejemplo de una traducción que tiene en el IPTables para un NAT tradicional
>
>
>
>
>
> -A POSTROUTING -s 10.5.10.41/32 -d ! 10.5.0.0/16 -j SNAT --to-source
> xx.yy.124.161 (sanitised public address)
>
>
>
> Lo traduje como "Para paquetes con una dirección de origen de 10.5.10.41 y
> una dirección de destino fuera del rango 10.5.0.0/16, luego traduzco la
> dirección de destino a xx.yy.124.161
>
>
>
> Sobre esa base, creé la siguiente configuración
>
>
>
> ip access-list extended lacnog1
>
>
>
>  deny ip host 10.5.10.41 10.5.0.0 0.0.255.255
>
>
>
>  remark denies traffic source 10.5.10.41 dest 10.5.0.0 0.0.255.255
>
>
>
>  permit ip host 10.5.10.41 any
>
>
>
>  remark permits traffic source 10.5.10.41 to any
>
>
>
> ip nat pool natpool1 xx.yy.124.161 xx.yy.124.161 netmask 255.255.255.252
>
>
>
> ip nat inside source list lacnog1 pool natpool1
>
>
>
>
>
> Un abrazo,
>
>
>
> Rogerio Mariano
>
>
>
> 2018-04-04 8:59 GMT-03:00 Jorge Villa <villa en reduniv.edu.cu>:
>
> Hermano, como estas?
>
>
>
> No se si entiendo bien lo que quieres hacer, pero bueno, te hago un par de
> comentarios.
>
>
>
> Esta variante de usar objetos (que explica José Luis) está disponible en
> Cisco, a partir de IOS 12.4(20)T. Es bastante más flexible para algunas
> cosas que el uso de las tradicionales ACL, aunque como tu caso es
> únicamente con NAT, creando las combinaciones y criterios adecuados en una
> ACL, en teoría, puedes solucionarlo sin mayores complicaciones.
>
>
>
> De todos modos, en mi opinión, la mejor manera de hacer esto es basado en
> dominios y no en IP; ya que cualquier red social emplea múltiples
> direcciones IP (acorde a su arquitectura, hosting, balanceadores de carga,
> etc., etc., etc.) y no tienes control sobre esto. Así que me parece no te
> va a ser muy efectivo, en la forma en que lo que estás queriendo hacer.
>
>
>
> Saludos,
>
> Jorge
>
>
>
> *De: *LACNOG <lacnog-bounces en lacnic.net> en nombre de Jose Luis Gaspoz <
> gaspozj en is.com.ar>
> *Responder a: *Jose Luis Gaspoz <gaspozj en is.com.ar>, Latin America and
> Caribbean Region Network Operators Group <lacnog en lacnic.net>
> *Fecha: *miércoles, 4 de abril de 2018, 7:39 AM
> *Para: *Manuel José Linares Alvaro <cheche en udg.co.cu>, Latin America and
> Caribbean Region Network Operators Group <lacnog en lacnic.net>
> *Asunto: *Re: [lacnog] IPSet en Cisco?
>
>
>
> Manuel:
>
>
>
> No se si te réferis a esto, se pueden crear objetos de Network y si queres
> también crear grupos de objetos de network .
>
>
>
> También podes crear objetos de servicios y grupo de objetos de servicios...
>
>
>
> Ejemplo:
>
>
>
> object network NAGIOS
>
> host 172.16.1.5
>
>
>
> object-group network HOST-PARA-ALGO
>
> network-object subnet 192.168.206.0 255.255.255.0
>
> network-object host 172.20.1.97
>
> network-object host NAGIOS
>
>
>
>
>
> Y en los servicios:
>
> object-group service SERVICIOS-PARA-ALGO tcp
>
> port-object eq 1433
>
> port-object eq www
>
>
>
> o agrupar objetos de servicios en un objeto de grupo de servicios:
>
>
>
> object-group service GRUPO_DE_SERVICIOS
>
> service-object object obj-udp-des-12000
>
> service-object object obj-udp-des-12001
>
> service-object object obj-udp-des-12002
>
> service-object object obj-udp-des-12003
>
> service-object object obj-udp-des-12004
>
>
>
>
>
> Podes definir objetos para origenes o destinos:
>
>
>
> object service obj-tcp-source-range-1025-65535-eq-80
>
> service tcp source any destination eq www
>
>
>
>
>
> Y después lo ocupas donde quieras (NAT, policies routing, filtros,
> inspecciones, ACLs). Acá depende de que equipo sea (router, ISR, ASA, etc)
> va a ser la estructura:
>
>
>
> EJ (no estan los ejemplos de los obj, pero te muestro la estructura):
>
>
>
> nat (Router,outside) source dynamic obj-172.16.0.0 obj-10.71.176.163
> destination static EMULACION1 EMULACION1 service obj-tcp-source-range-1025-65535-eq-992
> obj-tcp-eq-992
>
>
>
> Saludos
>
>
>
> Ing. Jose Luis Gaspoz
> Internet Services S.A.
> Tel: 0342-4565118
> Cel: 342-5008523
>
>
>
> *From:* Manuel José Linares Alvaro <cheche en udg.co.cu>
>
> *Sent:* Tuesday, April 03, 2018 10:39 PM
>
> *To:* Latin America and Caribbean Region Network Operators Group
> <lacnog en lacnic.net>
>
> *Subject:* [lacnog] IPSet en Cisco?
>
>
>
> hola colegas !!
>
>
>
> Una consulta sobre Cisco:
>
>
>
> En la mayoría de las distribuciones de linux existe el ipset, servicio que
> permite hacer un agregado de direcciones IP, lo cual facilita luego en
> firewalls como iptables, referirse mediante un solo nombre, a todo un
> conjunto de direcciones, redes, etc.
>
>
>
> Quisiera hacer algo similar en Cisco, para poder hacer un NAT desde mi red
> interna a redes sociales.
>
>
>
> Repito que en un router / firewall con linux es simple combinando ipset
> con iptables, ahora como implementarlo en cisco? pues no veo nada por el
> estilo a ipset.
>
>
>
> Gracias,
>
>
>
> Manuel.
>
>
> * * * * *
> Universidad de Granma, Bayamo. M.N. <http://www.udg.co.cu>
>
> Imagen del Satélite.
> <http://gestion.udg.co.cu/mrtg/weather/map/today-Bayamo-CUXX0001.jpg>
>
>
>
> [image: Imagen quitada por el remitente.]
> <http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient>
>
> Libre de virus. www.avg.com
> <http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient>
>
>
> ------------------------------
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
> _______________________________________________ LACNOG mailing list
> LACNOG en lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
>
>
> * * * * *
> Universidad de Granma, Bayamo. M.N. <http://www.udg.co.cu>
>
> Imagen del Satélite.
> <http://gestion.udg.co.cu/mrtg/weather/map/today-Bayamo-CUXX0001.jpg>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20180404/b93dda31/attachment-0001.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image001.jpg
Type: image/jpeg
Size: 350 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20180404/b93dda31/attachment-0001.jpg>


Más información sobre la lista de distribución LACNOG