ASA 5505 SEC PLUS

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
Avatar utente
pivellocheimpara
n00b
Messaggi: 14
Iscritto il: sab 30 giu , 2007 1:32 pm

Domanda un po' stupida:
Qualcuno di voi ha già provato ad installare uno di questi "aggeggi" con LAN, WAN e DMZ?
Sono alcuni mesi che mi scervello per farlo andare ma nulla. Da LAN a WAN funziona; da LAN a DMZ funziona; da DMZ a LAN (per le porta che mi interessano) funziona; da DMZ a WAN non funziona, anzi, funziona solamente se tolgo qualsialsi access-list che intacchi la porta DMZ.
Se guardate i miei post precedenti potete vedere anche le ultime configurazioni che ho provato.
Grazie
PcI
:cry: :cry:
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

anzi, funziona solamente se tolgo qualsialsi access-list che intacchi la porta DMZ.
Ci sarà un problema su quelle acl...
Facci vedere quelle acl
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
Avatar utente
pivellocheimpara
n00b
Messaggi: 14
Iscritto il: sab 30 giu , 2007 1:32 pm

....
access-list DMZtoINSIDE extended permit tcp host 10.0.0.2 192.168.2.0 255.255.255.0 eq 8080
access-list DMZtoINSIDE extended permit tcp host 10.0.0.2 192.168.2.0 255.255.255.0 eq 8089
access-list DMZtoINSIDE extended permit tcp host 10.0.0.2 192.168.2.0 255.255.255.0 eq 8989
access-list DMZtoINSIDE extended permit tcp host 10.0.0.2 192.168.2.0 255.255.255.0 eq 8999
access-list DMZtoINSIDE extended permit tcp host 10.0.0.2 192.168.2.0 255.255.255.0 eq lotusnotes
access-list DMZtoINSIDE extended permit tcp host 10.0.0.2 192.168.2.0 255.255.255.0 eq smtp
access-list DMZtoINSIDE extended permit tcp host 10.0.0.2 192.168.2.0 255.255.255.0 range 12173 12175
access-list DMZtoINSIDE extended deny tcp any 192.168.2.0 255.255.255.0
access-list DMZtoINSIDE extended permit tcp any any eq www
access-list DMZtoINSIDE extended permit tcp any any eq https
access-list OUTSIDEtoDMZ extended permit tcp any host xxx.xxx.xxx.xxx eq 8080
access-list OUTSIDEtoDMZ extended permit tcp any host xxx.xxx.xxx.xxx eq 8989
access-list OUTSIDEtoDMZ extended permit tcp any host xxx.xxx.xxx.xxx eq 8999
access-list OUTSIDEtoDMZ extended permit tcp any host xxx.xxx.xxx.xxx eq ftp
access-list OUTSIDEtoDMZ extended permit tcp any host xxx.xxx.xxx.xxx eq www
access-list OUTSIDEtoDMZ extended permit tcp any host xxx.xxx.xxx.xxx eq https
access-list OUTSIDEtoDMZ extended permit tcp any host xxx.xxx.xxx.xxx eq 1533
access-list OUTSIDEtoDMZ extended permit tcp any host xxx.xxx.xxx.xxx range 12173 12175
access-list OUTSIDEtoDMZ extended permit tcp any host xxx.xxx.xxx.xxx eq smtp
....
nat (inside) 1 192.168.2.0 255.255.255.0
nat (dmz) 1 10.0.0.0 255.255.255.0
static (inside,dmz) 10.0.0.0 192.168.2.0 netmask 255.255.255.0
static (dmz,outside) xxx.xxx.xxx.xxx 10.0.0.2 netmask 255.255.255.255
access-group OUTSIDEtoDMZ in interface outside
access-group DMZtoINSIDE in interface dmz
...

Grazie
PcI
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Manca la acl in uscita x le risoluzioni dns e il protocollo icmp per i test...

Codice: Seleziona tutto

access-list DMZtoINSIDE extended permit udp any any eq 53
access-list DMZtoINSIDE extended permit icmp any any
Metti queste acl sotto alla tua:

access-list DMZtoINSIDE extended permit tcp any any eq https
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
Avatar utente
pivellocheimpara
n00b
Messaggi: 14
Iscritto il: sab 30 giu , 2007 1:32 pm

Domani mattina provo e ti faccio sapere.
Grazie intanto.
PcI :P
Top
Rispondi

Torna a “Configurazioni”