Ciao, qualcuno mi può dare qualche ragguaglio sulla direttiva global su ASA 5505?
global Specify, delete or view global address pools,
or designate a PAT(Port Address Translated) address
La descrizio della man non mi ha dice granchè...
Mi sono accorto della sua importanza perchè senza la regola:
global (inside-lab-dmz) 1 interface
gli host in dmz ( security level 60 ) non sono raggiungibili dalla lan ( security level 100 ).
La cosa strana è che adesso www è raggiungibile anche dagli host della lan, ma anche se abilito gli icmp non passano. Può essere un limite della dmz restricted ?
Grazie a tutti
Direttiva global su ASA 5505
Moderatore: Federico.Lagni
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Mi sa che hai molta confuzione in testa...
Intanto ti consiglio di leggerti la lunga ma ottima documentazione sul sito Cisco!
Nel caso particolare il comando
dichiara l'ip di pat da usare
Solo quel comando nn serve a niente, occorre anche battezzare chi e da dove deve provenire il source pat con il comando:
Intanto ti consiglio di leggerti la lunga ma ottima documentazione sul sito Cisco!
Nel caso particolare il comando
Codice: Seleziona tutto
global (int) id ip (o int)Solo quel comando nn serve a niente, occorre anche battezzare chi e da dove deve provenire il source pat con il comando:
Codice: Seleziona tutto
nat (int) id rete maskIl futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Esempio:
Con questo comando dichiari che quando la rete 192.168.0.0/24 dietro la int inside deve andare verso la int outside deve essere pattata con l'ip 82.82.82.82
Codice: Seleziona tutto
global (outside) 1 82.82.82.82
nat (inside) 1 192.168.0.0 255.255.255.0
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
egarim
- Cisco fan
- Messaggi: 67
- Iscritto il: dom 12 apr , 2009 2:44 pm
Intanto grazie per la spiegazione. Nel mio caso in cui ho una dmzWizard ha scritto:Esempio:
Con questo comando dichiari che quando la rete 192.168.0.0/24 dietro la int inside deve andare verso la int outside deve essere pattata con l'ip 82.82.82.82Codice: Seleziona tutto
global (outside) 1 82.82.82.82 nat (inside) 1 192.168.0.0 255.255.255.0
Codice: Seleziona tutto
global (inside-lab-dmz) 1 interface
global (outside) 1 interface
nat (inside-uff) 1 192.168.0.0 255.255.255.0
nat (inside-lab-dmz) 1 10.0.0.0 255.255.255.0
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Certo, sui FW Cisco per passare da una int alla altra occorre sapere come presentarsi (nat). Quindi, nel tuo caso si va da una int con peso maggiore ad una con peso minore quindi basta acl e patprima di mettere la direttiva global (inside-lab-dmz) 1 interface dalla lan non riuscivo ad accedere agli host in dmz
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Nel global indichi l'ip di quella int da usare come ip di patQuindi quel global è l'assocciazione di un ip all'interfaccia?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Bene!
Per fare comunicare lan con dmz e\o viceversa cmq ti consiglio il nat 0 o il nat statico rispetto al pat
Per fare comunicare lan con dmz e\o viceversa cmq ti consiglio il nat 0 o il nat statico rispetto al pat
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
