<div dir="ltr"><div>Hola Jorge,</div><div><br></div><div>Tal vez su sugerencia sea el camino más fácil.</div><div><br></div><div>Ejemplo de una traducción que tiene en el IPTables para un NAT tradicional</div><div><br></div><div><br></div><div>-A POSTROUTING -s <a href="http://10.5.10.41/32">10.5.10.41/32</a> -d ! <a href="http://10.5.0.0/16">10.5.0.0/16</a> -j SNAT --to-source xx.yy.124.161 (sanitised public address)</div><div><br></div><div>Lo traduje como "Para paquetes con una dirección de origen de 10.5.10.41 y una dirección de destino fuera del rango <a href="http://10.5.0.0/16">10.5.0.0/16</a>, luego traduzco la dirección de destino a xx.yy.124.161</div><div><br></div><div>Sobre esa base, creé la siguiente configuración</div><div><br></div><div>ip access-list extended lacnog1</div><div><br></div><div> deny ip host 10.5.10.41 10.5.0.0 0.0.255.255</div><div><br></div><div> remark denies traffic source 10.5.10.41 dest 10.5.0.0 0.0.255.255</div><div><br></div><div> permit ip host 10.5.10.41 any</div><div><br></div><div> remark permits traffic source 10.5.10.41 to any</div><div><br></div><div>ip nat pool natpool1 xx.yy.124.161 xx.yy.124.161 netmask 255.255.255.252</div><div><br></div><div>ip nat inside source list lacnog1 pool natpool1</div><div><br></div><div><br></div><div>Un abrazo,</div><div><br></div><div>Rogerio Mariano</div></div><div class="gmail_extra"><br><div class="gmail_quote">2018-04-04 8:59 GMT-03:00 Jorge Villa <span dir="ltr"><<a href="mailto:villa@reduniv.edu.cu" target="_blank">villa@reduniv.edu.cu</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div bgcolor="white" lang="ES-TRAD" link="blue" vlink="purple"><div class="m_-3486007600517006742WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">Hermano, como estas?<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">No se si entiendo bien lo que quieres hacer, pero bueno, te hago un par de comentarios.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">Esta variante de usar objetos (que explica José Luis) está disponible en Cisco, a partir de IOS 12.4(20)T. Es bastante más flexible para algunas cosas que el uso de las tradicionales ACL, aunque como tu caso es únicamente con NAT, creando las combinaciones y criterios adecuados en una ACL, en teoría, puedes solucionarlo sin mayores complicaciones. <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">De todos modos, en mi opinión, la mejor manera de hacer esto es basado en dominios y no en IP; ya que cualquier red social emplea múltiples direcciones IP (acorde a su arquitectura, hosting, balanceadores de carga, etc., etc., etc.) y no tienes control sobre esto. Así que me parece no te va a ser muy efectivo, en la forma en que lo que estás queriendo hacer. <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">Saludos,<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">Jorge<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><u></u> <u></u></span></p><div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0in 0in 0in"><p class="MsoNormal"><b><span style="font-family:Calibri;color:black">De: </span></b><span style="font-family:Calibri;color:black">LACNOG <<a href="mailto:lacnog-bounces@lacnic.net" target="_blank">lacnog-bounces@lacnic.net</a>> en nombre de Jose Luis Gaspoz <<a href="mailto:gaspozj@is.com.ar" target="_blank">gaspozj@is.com.ar</a>><br><b>Responder a: </b>Jose Luis Gaspoz <<a href="mailto:gaspozj@is.com.ar" target="_blank">gaspozj@is.com.ar</a>>, Latin America and Caribbean Region Network Operators Group <<a href="mailto:lacnog@lacnic.net" target="_blank">lacnog@lacnic.net</a>><br><b>Fecha: </b>miércoles, 4 de abril de 2018, 7:39 AM</span><span style="font-family:PMingLiU;color:black"><br></span><b><span style="font-family:Calibri;color:black">Para: </span></b><span style="font-family:Calibri;color:black">Manuel José Linares Alvaro <<a href="mailto:cheche@udg.co.cu" target="_blank">cheche@udg.co.cu</a>>, Latin America and Caribbean Region Network Operators Group <<a href="mailto:lacnog@lacnic.net" target="_blank">lacnog@lacnic.net</a>></span><span style="font-family:PMingLiU;color:black"><br></span><b><span style="font-family:Calibri;color:black">Asunto: </span></b><span style="font-family:Calibri;color:black">Re: [lacnog] IPSet en Cisco?<u></u><u></u></span></p></div><div><div class="h5"><div><p class="MsoNormal"><u></u> <u></u></p></div><div><div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">Manuel:<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">No se si te réferis a esto, se pueden crear objetos de Network y si queres también crear grupos de objetos de network . <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">También podes crear objetos de servicios y grupo de objetos de servicios...<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">Ejemplo:<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">object network NAGIOS<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">host 172.16.1.5<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">object-group network HOST-PARA-ALGO<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">network-object subnet 192.168.206.0 255.255.255.0<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">network-object host 172.20.1.97<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">network-object host NAGIOS<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">Y en los servicios:<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">object-group service SERVICIOS-PARA-ALGO tcp<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">port-object eq 1433<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">port-object eq www<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">o agrupar objetos de servicios en un objeto de grupo de servicios:<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">object-group service GRUPO_DE_SERVICIOS<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">service-object object obj-udp-des-12000 <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">service-object object obj-udp-des-12001 <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">service-object object obj-udp-des-12002 <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">service-object object obj-udp-des-12003 <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">service-object object obj-udp-des-12004 <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">Podes definir objetos para origenes o destinos:<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">object service obj-tcp-source-range-1025-<wbr>65535-eq-80<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">service tcp source any destination eq www <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">Y después lo ocupas donde quieras (NAT, policies routing, filtros, inspecciones, ACLs). Acá depende de que equipo sea (router, ISR, ASA, etc) va a ser la estructura:<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">EJ (no estan los ejemplos de los obj, pero te muestro la estructura):<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">nat (Router,outside) source dynamic obj-172.16.0.0 obj-10.71.176.163 destination static EMULACION1 EMULACION1 service obj-tcp-source-range-1025-<wbr>65535-eq-992 obj-tcp-eq-992<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">Saludos<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">Ing. Jose Luis Gaspoz<br>Internet Services S.A.<br>Tel: 0342-4565118<br>Cel: 342-5008523<u></u><u></u></span></p></div><div><div><div><p class="MsoNormal"><span style="font-size:10.0pt;font-family:"tahoma","serif";color:black"> <u></u><u></u></span></p></div><div><div><p class="MsoNormal" style="background:whitesmoke"><b><span style="font-size:10.0pt;font-family:"tahoma","serif";color:black">From:</span></b><span style="font-size:10.0pt;font-family:"tahoma","serif";color:black"> <a href="mailto:cheche@udg.co.cu" title="cheche@udg.co.cu" target="_blank">Manuel José Linares Alvaro</a> <u></u><u></u></span></p></div><div><p class="MsoNormal" style="background:whitesmoke"><b><span style="font-size:10.0pt;font-family:"tahoma","serif";color:black">Sent:</span></b><span style="font-size:10.0pt;font-family:"tahoma","serif";color:black"> Tuesday, April 03, 2018 10:39 PM<u></u><u></u></span></p></div><div><p class="MsoNormal" style="background:whitesmoke"><b><span style="font-size:10.0pt;font-family:"tahoma","serif";color:black">To:</span></b><span style="font-size:10.0pt;font-family:"tahoma","serif";color:black"> <a href="mailto:lacnog@lacnic.net" title="lacnog@lacnic.net" target="_blank">Latin America and Caribbean Region Network Operators Group</a> <u></u><u></u></span></p></div><div><p class="MsoNormal" style="background:whitesmoke"><b><span style="font-size:10.0pt;font-family:"tahoma","serif";color:black">Subject:</span></b><span style="font-size:10.0pt;font-family:"tahoma","serif";color:black"> [lacnog] IPSet en Cisco?<u></u><u></u></span></p></div></div></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div></div><div><div><div><div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">hola colegas !!<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">Una consulta sobre Cisco:<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">En la mayoría de las distribuciones de linux existe el ipset, servicio que permite hacer un agregado de direcciones IP, lo cual facilita luego en firewalls como iptables, referirse mediante un solo nombre, a todo un conjunto de direcciones, redes, etc.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">Quisiera hacer algo similar en Cisco, para poder hacer un NAT desde mi red interna a redes sociales.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">Repito que en un router / firewall con linux es simple combinando ipset con iptables, ahora como implementarlo en cisco? pues no veo nada por el estilo a ipset.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">Gracias,<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:Calibri;color:black">Manuel.<u></u><u></u></span></p></div></div></div></div><p class="MsoNormal"><span style="font-family:Calibri;color:black"><br>* * * * *<br><a href="http://www.udg.co.cu" target="_blank">Universidad de Granma, Bayamo. M.N.</a><br><br><a href="http://gestion.udg.co.cu/mrtg/weather/map/today-Bayamo-CUXX0001.jpg" target="_blank">Imagen del Satélite.</a> <u></u><u></u></span></p><div id="m_-3486007600517006742DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2"><p class="MsoNormal"><span style="font-family:Calibri;color:black"><u></u> <u></u></span></p><table class="m_-3486007600517006742MsoNormalTable" border="1" cellpadding="0" style="border:none;border-top:solid #d3d4de 1.0pt"><tbody><tr><td width="55" style="width:41.25pt;border:none;padding:13.5pt .75pt .75pt .75pt"><p class="MsoNormal"><span style="color:black"><a href="http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient" target="_blank"><span style="text-decoration:none"><img border="0" width="46" height="29" id="m_-3486007600517006742_x0000_i1025" src="https://ipmcdn.avast.com/images/icons/icon-envelope-tick-green-avg-v1.png"></span></a><u></u><u></u></span></p></td><td width="470" style="width:352.5pt;border:none;padding:12.75pt .75pt .75pt .75pt"><p class="MsoNormal" style="line-height:13.5pt"><span style="font-size:10.0pt;font-family:Arial;color:#41424e">Libre de virus. <a href="http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient" target="_blank"><span style="color:#4453ea">www.avg.com</span></a> <u></u><u></u></span></p></td></tr></tbody></table></div><p class="MsoNormal"><span style="font-family:Calibri;color:black"><u></u> <u></u></span></p><div class="MsoNormal" align="center" style="text-align:center"><span style="font-family:Calibri;color:black"><hr size="2" width="100%" align="center"></span></div><p class="MsoNormal"><span style="font-family:Calibri;color:black">______________________________<wbr>_________________<br>LACNOG mailing list<br><a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/<wbr>mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/<wbr>mailman/options/lacnog</a><br><br><u></u><u></u></span></p></div></div></div><p class="MsoNormal">______________________________<wbr>_________________ LACNOG mailing list <a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a> <a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/<wbr>mailman/listinfo/lacnog</a> Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/<wbr>mailman/options/lacnog</a> <u></u><u></u></p></div></div></div></div>
<br>______________________________<wbr>_________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/<wbr>mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/<wbr>mailman/options/lacnog</a><br>
<br></blockquote></div><br></div>