<div dir="ltr"><div>Hola Manuel,</div><div><br></div><div>Respondendo sua pergunta...</div><div><br></div><div>"Ahora quiero hacer algo similiar, ante la posibilidad de reemplazar un router-firewall que tengo sobre fedora-core, por un cisco 2911. Por eso pregunto que si en Cisco IOS puedo hacer algo similiar"</div><div><br></div><div>Creo que el 2911 como software IOS Firewall hace lo que usted desea, sé que con un Internal Service Module (ISM) o SRE Service Module (SM) ) esto se puede lograr, pero realmente sólo leer el release notes de la versión de IOS que usted anhela para saber si la traducción de IPTables es compatible con el IOS (solo software). También le aconsejo hacer un laboratorio de mesa, inserte la versión en el 2911 y prueba antes de poner en producción, si todo ocurre bien, haga una ventana de mantenimiento controlada con un plan de rollback para que no se sorprenda. También busque drawbacks de la versión de IOS que usted desea con otras características que usted utiliza en su red hoy.</div><div><br></div><div>Saludos,</div><div><br></div><div>Rogerio Mariano</div></div><div class="gmail_extra"><br><div class="gmail_quote">2018-04-04 9:56 GMT-03:00 Manuel José Linares Alvaro <span dir="ltr"><<a href="mailto:cheche@udg.co.cu" target="_blank">cheche@udg.co.cu</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="ES" link="blue" vlink="purple"><div class="m_733136933253408301WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Gracias por responder Rogerio.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Me explico mejor.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">En varias distribuciones de Linux, con IPTables puedo hacer un NAT muy fácilmente.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Supongamos que deseo hacer un nat solamente con destino a las direcciones de Facebook:<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Para ello, si tuviera un soft router usaría ipset para incluir todas las direcciones de destino en un solo pool:<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="m_733136933253408301MsoListParagraph"><u></u><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><span>1-<span style="font:7.0pt "Times New Roman""> </span></span></span><u></u><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Creo el pool allow-facebook-nets<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"># ipset create allow-facebook-nets hash:net<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="m_733136933253408301MsoListParagraph"><u></u><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><span>2-<span style="font:7.0pt "Times New Roman""> </span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Agrego al pool allow-facebook-net, las direcciones de destino, en este caso las de facebook:<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"># add allow-facebook-nets <a href="http://188.64.226.0/24" target="_blank">188.64.226.0/24</a><u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"># add allow-facebook-nets <a href="http://209.237.219.0/24" target="_blank">209.237.219.0/24</a><u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"># add allow-facebook-nets <a href="http://157.240.14.0/24" target="_blank">157.240.14.0/24</a><u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">……………<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="m_733136933253408301MsoListParagraph"><u></u><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><span>3-<span style="font:7.0pt "Times New Roman""> </span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Luego es sencillo hacer un nat desde un bloque o una ip determinada, con destino al pool allow-facebook-net<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"># iptables -t nat -A POSTROUTING -s <a href="http://10.25.62.0/24" target="_blank">10.25.62.0/24</a> -m set --match-set allow-facebook-nets dst -o bond0.200 -j SNAT --to 200.14.53.3<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">De esta forma agrupo en solo una regla, todo lo que vaya con destino a cualquiera de las direcciones de facebook. De lo contrario, tendría que poner en mi IPTables cientos de reglas, solución impensable.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Esto es un ejemplo bastante incompleto…<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Ahora quiero hacer algo similiar, ante la posibilidad de reemplazar un router-firewall que tengo sobre fedora-core, por un cisco 2911. Por eso pregunto que si en Cisco IOS puedo hacer algo similiar.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Saludos,<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">MAnuel<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">De:</span></b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> LACNOG [mailto:<a href="mailto:lacnog-bounces@lacnic.net" target="_blank">lacnog-bounces@lacnic.<wbr>net</a>] <b>En nombre de </b>Rogerio Mariano<br><b>Enviado el:</b> miércoles, 4 de abril de 2018 08:36<br><b>Para:</b> Latin America and Caribbean Region Network Operators Group</span></p><div><div class="h5"><br><b>Asunto:</b> Re: [lacnog] IPSet en Cisco?<u></u><u></u></div></div><p></p><div><div class="h5"><p class="MsoNormal"><u></u> <u></u></p><div><div><p class="MsoNormal">Hola Jorge,<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Tal vez su sugerencia sea el camino más fácil.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Ejemplo de una traducción que tiene en el IPTables para un NAT tradicional<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">-A POSTROUTING -s <a href="http://10.5.10.41/32" target="_blank">10.5.10.41/32</a> -d ! <a href="http://10.5.0.0/16" target="_blank">10.5.0.0/16</a> -j SNAT --to-source xx.yy.124.161 (sanitised public address)<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Lo traduje como "Para paquetes con una dirección de origen de 10.5.10.41 y una dirección de destino fuera del rango <a href="http://10.5.0.0/16" target="_blank">10.5.0.0/16</a>, luego traduzco la dirección de destino a xx.yy.124.161<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Sobre esa base, creé la siguiente configuración<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">ip access-list extended lacnog1<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"> deny ip host 10.5.10.41 10.5.0.0 0.0.255.255<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"> remark denies traffic source 10.5.10.41 dest 10.5.0.0 0.0.255.255<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"> permit ip host 10.5.10.41 any<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"> remark permits traffic source 10.5.10.41 to any<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">ip nat pool natpool1 xx.yy.124.161 xx.yy.124.161 netmask 255.255.255.252<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">ip nat inside source list lacnog1 pool natpool1<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Un abrazo,<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Rogerio Mariano<u></u><u></u></p></div></div></div></div><div><p class="MsoNormal"><u></u> <u></u></p><div><div><div class="h5"><p class="MsoNormal">2018-04-04 8:59 GMT-03:00 Jorge Villa <<a href="mailto:villa@reduniv.edu.cu" target="_blank">villa@reduniv.edu.cu</a>>:<u></u><u></u></p></div></div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm"><div><div><div><div class="h5"><p class="MsoNormal"><span lang="ES-TRAD" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Hermano, como estas?</span><span lang="ES-TRAD"><u></u><u></u></span></p><p class="MsoNormal"><span lang="ES-TRAD" style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><span lang="ES-TRAD"><u></u><u></u></span></p><p class="MsoNormal"><span lang="ES-TRAD" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">No se si entiendo bien lo que quieres hacer, pero bueno, te hago un par de comentarios.</span><span lang="ES-TRAD"><u></u><u></u></span></p><p class="MsoNormal"><span lang="ES-TRAD" style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><span lang="ES-TRAD"><u></u><u></u></span></p><p class="MsoNormal"><span lang="ES-TRAD" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Esta variante de usar objetos (que explica José Luis) está disponible en Cisco, a partir de IOS 12.4(20)T. Es bastante más flexible para algunas cosas que el uso de las tradicionales ACL, aunque como tu caso es únicamente con NAT, creando las combinaciones y criterios adecuados en una ACL, en teoría, puedes solucionarlo sin mayores complicaciones. </span><span lang="ES-TRAD"><u></u><u></u></span></p><p class="MsoNormal"><span lang="ES-TRAD" style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><span lang="ES-TRAD"><u></u><u></u></span></p><p class="MsoNormal"><span lang="ES-TRAD" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">De todos modos, en mi opinión, la mejor manera de hacer esto es basado en dominios y no en IP; ya que cualquier red social emplea múltiples direcciones IP (acorde a su arquitectura, hosting, balanceadores de carga, etc., etc., etc.) y no tienes control sobre esto. Así que me parece no te va a ser muy efectivo, en la forma en que lo que estás queriendo hacer. </span><span lang="ES-TRAD"><u></u><u></u></span></p><p class="MsoNormal"><span lang="ES-TRAD" style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><span lang="ES-TRAD"><u></u><u></u></span></p><p class="MsoNormal"><span lang="ES-TRAD" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Saludos,</span><span lang="ES-TRAD"><u></u><u></u></span></p><p class="MsoNormal"><span lang="ES-TRAD" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Jorge</span><span lang="ES-TRAD"><u></u><u></u></span></p><p class="MsoNormal"><span lang="ES-TRAD" style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><span lang="ES-TRAD"><u></u><u></u></span></p><div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0cm 0cm 0cm"><p class="MsoNormal"><b><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">De: </span></b><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">LACNOG <<a href="mailto:lacnog-bounces@lacnic.net" target="_blank">lacnog-bounces@lacnic.net</a>> en nombre de Jose Luis Gaspoz <<a href="mailto:gaspozj@is.com.ar" target="_blank">gaspozj@is.com.ar</a>><br><b>Responder a: </b>Jose Luis Gaspoz <<a href="mailto:gaspozj@is.com.ar" target="_blank">gaspozj@is.com.ar</a>>, Latin America and Caribbean Region Network Operators Group <<a href="mailto:lacnog@lacnic.net" target="_blank">lacnog@lacnic.net</a>><br><b>Fecha: </b>miércoles, 4 de abril de 2018, 7:39 AM</span><span lang="ES-TRAD" style="font-family:"PMingLiU","serif";color:black"><br></span><b><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">Para: </span></b><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">Manuel José Linares Alvaro <<a href="mailto:cheche@udg.co.cu" target="_blank">cheche@udg.co.cu</a>>, Latin America and Caribbean Region Network Operators Group <<a href="mailto:lacnog@lacnic.net" target="_blank">lacnog@lacnic.net</a>></span><span lang="ES-TRAD" style="font-family:"PMingLiU","serif";color:black"><br></span><b><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">Asunto: </span></b><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">Re: [lacnog] IPSet en Cisco?</span><span lang="ES-TRAD"><u></u><u></u></span></p></div></div></div><div><div><div><p class="MsoNormal"><span lang="ES-TRAD"> <u></u><u></u></span></p></div><div><div><div><div class="h5"><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">Manuel:</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">No se si te réferis a esto, se pueden crear objetos de Network y si queres también crear grupos de objetos de network . </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">También podes crear objetos de servicios y grupo de objetos de servicios...</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">Ejemplo:</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">object network NAGIOS</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">host 172.16.1.5</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">object-group network HOST-PARA-ALGO</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">network-object subnet 192.168.206.0 255.255.255.0</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">network-object host 172.20.1.97</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">network-object host NAGIOS</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">Y en los servicios:</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">object-group service SERVICIOS-PARA-ALGO tcp</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">port-object eq 1433</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">port-object eq www</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">o agrupar objetos de servicios en un objeto de grupo de servicios:</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">object-group service GRUPO_DE_SERVICIOS</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">service-object object obj-udp-des-12000 </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">service-object object obj-udp-des-12001 </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">service-object object obj-udp-des-12002 </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">service-object object obj-udp-des-12003 </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">service-object object obj-udp-des-12004 </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">Podes definir objetos para origenes o destinos:</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">object service obj-tcp-source-range-1025-<wbr>65535-eq-80</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">service tcp source any destination eq www </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">Y después lo ocupas donde quieras (NAT, policies routing, filtros, inspecciones, ACLs). Acá depende de que equipo sea (router, ISR, ASA, etc) va a ser la estructura:</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">EJ (no estan los ejemplos de los obj, pero te muestro la estructura):</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">nat (Router,outside) source dynamic obj-172.16.0.0 obj-10.71.176.163 destination static EMULACION1 EMULACION1 service obj-tcp-source-range-1025-<wbr>65535-eq-992 obj-tcp-eq-992</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">Saludos</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">Ing. Jose Luis Gaspoz<br>Internet Services S.A.<br>Tel: 0342-4565118<br>Cel: 342-5008523</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><div><p class="MsoNormal" style="background:whitesmoke"><b><span lang="ES-TRAD" style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black">From:</span></b><span lang="ES-TRAD" style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black"> <a href="mailto:cheche@udg.co.cu" title="cheche@udg.co.cu" target="_blank">Manuel José Linares Alvaro</a> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal" style="background:whitesmoke"><b><span lang="ES-TRAD" style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black">Sent:</span></b><span lang="ES-TRAD" style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black"> Tuesday, April 03, 2018 10:39 PM</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal" style="background:whitesmoke"><b><span lang="ES-TRAD" style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black">To:</span></b><span lang="ES-TRAD" style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black"> <a href="mailto:lacnog@lacnic.net" title="lacnog@lacnic.net" target="_blank">Latin America and Caribbean Region Network Operators Group</a> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal" style="background:whitesmoke"><b><span lang="ES-TRAD" style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black">Subject:</span></b><span lang="ES-TRAD" style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black"> [lacnog] IPSet en Cisco?</span><span lang="ES-TRAD"><u></u><u></u></span></p></div></div></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div></div></div></div><div><div><div class="h5"><div><div><div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">hola colegas !!</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">Una consulta sobre Cisco:</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">En la mayoría de las distribuciones de linux existe el ipset, servicio que permite hacer un agregado de direcciones IP, lo cual facilita luego en firewalls como iptables, referirse mediante un solo nombre, a todo un conjunto de direcciones, redes, etc.</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">Quisiera hacer algo similar en Cisco, para poder hacer un NAT desde mi red interna a redes sociales.</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">Repito que en un router / firewall con linux es simple combinando ipset con iptables, ahora como implementarlo en cisco? pues no veo nada por el estilo a ipset.</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">Gracias,</span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">Manuel.</span><span lang="ES-TRAD"><u></u><u></u></span></p></div></div></div></div><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"><br>* * * * *<br><a href="http://www.udg.co.cu" target="_blank">Universidad de Granma, Bayamo. M.N.</a><br><br><a href="http://gestion.udg.co.cu/mrtg/weather/map/today-Bayamo-CUXX0001.jpg" target="_blank">Imagen del Satélite.</a> </span><span lang="ES-TRAD"><u></u><u></u></span></p></div></div><div id="m_733136933253408301m_-3486007600517006742DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2"><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p><table class="m_733136933253408301MsoNormalTable" border="1" cellpadding="0" style="border:none;border-top:solid #d3d4de 1.0pt"><tbody><tr><td width="55" style="width:41.25pt;border:none;padding:13.5pt .75pt .75pt .75pt"><p class="MsoNormal"><span style="color:black"><a href="http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient" target="_blank"><span style="border:solid windowtext 1.0pt;padding:0cm;text-decoration:none"><img border="0" width="46" height="29" id="m_733136933253408301m_-3486007600517006742_x005f_x0000_i1025" src="cid:image001.jpg@01D3CBF1.F1135810" alt="Imagen quitada por el remitente."></span></a></span><u></u><u></u></p></td><td width="470" style="width:352.5pt;border:none;padding:12.75pt .75pt .75pt .75pt"><p class="MsoNormal" style="line-height:13.5pt"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:#41424e">Libre de virus. <a href="http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient" target="_blank"><span style="color:#4453ea">www.avg.com</span></a> </span><u></u><u></u></p></td></tr></tbody></table></div><span class=""><p class="MsoNormal"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"> </span><span lang="ES-TRAD"><u></u><u></u></span></p><div class="MsoNormal" align="center" style="text-align:center"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black"><hr size="2" width="100%" align="center"></span></div><p class="MsoNormal" style="margin-bottom:12.0pt"><span lang="ES-TRAD" style="font-family:"Calibri","sans-serif";color:black">______________________________<wbr>_________________<br>LACNOG mailing list<br><a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/<wbr>mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/<wbr>mailman/options/lacnog</a></span><span lang="ES-TRAD"><u></u><u></u></span></p></span></div></div></div><span class=""><p class="MsoNormal"><span lang="ES-TRAD">______________________________<wbr>_________________ LACNOG mailing list <a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a> <a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/<wbr>mailman/listinfo/lacnog</a> Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/<wbr>mailman/options/lacnog</a> <u></u><u></u></span></p></span></div></div></div></div><span class=""><p class="MsoNormal" style="margin-bottom:12.0pt"><br>______________________________<wbr>_________________<br>LACNOG mailing list<br><a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/<wbr>mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/<wbr>mailman/options/lacnog</a><u></u><u></u></p></span></blockquote></div><p class="MsoNormal"><u></u> <u></u></p></div></div>
<br><span class=""><div>* * * * *<br><u></u><a href="http://www.udg.co.cu" target="_blank">Universidad de Granma, Bayamo. M.N.</a><br><br><u></u><a href="http://gestion.udg.co.cu/mrtg/weather/map/today-Bayamo-CUXX0001.jpg" target="_blank">Imagen del Satélite.</a></div>
<br></span></div><br>______________________________<wbr>_________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/<wbr>mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/<wbr>mailman/options/lacnog</a><br>
<br></blockquote></div><br></div>