ASA 5510 e DMZ

[litium]

Sto configurando un ASA 5510. Tutto bene tranne il fatto che non riesco a far funzionare la DMZ. Sulla DMZ devo configurare un server mail con indirizzo pubblico.
Ho un PAT tra IF Inside e il pubblico di collegamento
Ho un NAT tra IF DMZ e il pubblico del server mail
Ho un NAT tra DMZ e IF Inside

cosa manca per far funzionare il DMZ?
Devo per caso aggiungere qualcosa anche al router per pubblicare il pubblico del server mail?
Cosa devo aggiungere nelle security policy?

Grazie dell'aiuto.

[Wizard]

Hai le acl in entrata verso l'ip pubblico?

[litium]

Dalla WAN any any verso il pubblico del server mail. Giusto?

[Wizard]

Dal punto di vista della sicurezza fa schifo però x farlo andare va bene.
Facci vedere la config del firewall che vediamo dv è il problema

[litium]

!
ASA Version 7.0(7)
!
hostname asa5510
domain-name default.domain.invalid
enable password 6Lgd85RgpRgrUvG9 encrypted
names
dns-guard
!
interface Ethernet0/0
nameif WAN
security-level 0
ip address 84.xxx.xxx.20 255.255.255.0
!
interface Ethernet0/1
nameif LAN
security-level 100
ip address 192.168.1.100 255.255.255.0
!
interface Ethernet0/2
nameif DMZ
security-level 50
ip address 30.30.30.2 255.255.255.0
!
interface Management0/0
nameif management
security-level 100
ip address 10.10.10.10 255.255.255.0
management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
same-security-traffic permit inter-interface
object-group service mail tcp
port-object eq www
port-object eq pop3
port-object eq smtp
access-list WAN_access_in extended permit tcp any host 84.xxx.xxx.21 object-group mail
access-list WAN_access_in extended permit tcp host 84.xxx.xxx.21 host 84.xxx.xxx.20
access-list WAN_access_in extended permit tcp any eq www host 84.xxx.xxx.20 eq www
access-list DMZ_access_in extended permit ip any host 84.xxx.xxx.21
pager lines 24
logging asdm informational
mtu WAN 1500
mtu LAN 1500
mtu DMZ 1500
mtu management 1500
asdm image disk0:/asdm-507.bin
asdm location 84.xxx.xxx.21 255.255.255.255 WAN
asdm location 84.xxx.xxx.21 255.255.255.255 DMZ
no asdm history enable
arp timeout 14400
nat-control
global (WAN) 200 interface
global (DMZ) 200 30.30.30.0 netmask 255.255.255.0
nat (LAN) 200 192.168.1.0 255.255.255.0
nat (management) 0 0.0.0.0 0.0.0.0
static (DMZ,WAN) 84.xxx.xxx.21 30.30.30.30 netmask 255.255.255.255
access-group WAN_access_in in interface WAN per-user-override
route WAN 0.0.0.0 0.0.0.0 84.xxx.xxx.19 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.1.0 255.255.255.0 LAN
http 10.10.10.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no sysopt connection permit-ipsec
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 10.10.10.11-10.10.10.30 management
dhcpd lease 3600
dhcpd ping_timeout 50
dhcpd enable management
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
Cryptochecksum:5d564aab119604edb5e30affcddb0171

[litium]

mi hanno detto che la dmz è configurabile solo sul modello ASA5510-SEC-BUN-K9. Il mio invece non ha la licenza sec. Vi risulta questa cosa?

[Wizard]

mi hanno detto che la dmz è configurabile solo sul modello ASA5510-SEC-BUN-K9. Il mio invece non ha la licenza sec. Vi risulta questa cosa?

Si sn confusi con il 5505

[litium]

Hai dato un'occhiata alla configurazione?

[litium]

Nessuno mi sa dire come mai questa configurazione non funziona in DMZ???

[xanio]

non vorrei dire baggianate, ma questa stringa

Codice: Seleziona tutto

static (DMZ,WAN) 84.xxx.xxx.21 30.30.30.30 netmask 255.255.255.255

non dovrebbe essere

Codice: Seleziona tutto

static (WAN,DMZ) 84.xxx.xxx.21 30.30.30.30 netmask 255.255.255.255

?

[Wizard]

non vorrei dire baggianate

Hai detto una baggianata