Pagina 1 di 1
Direttiva global su ASA 5505
Inviato: gio 04 giu , 2009 12:54 pm
da egarim
Ciao, qualcuno mi può dare qualche ragguaglio sulla direttiva global su ASA 5505?
global Specify, delete or view global address pools,
or designate a PAT(Port Address Translated) address
La descrizio della man non mi ha dice granchè...
Mi sono accorto della sua importanza perchè senza la regola:
global (inside-lab-dmz) 1 interface
gli host in dmz ( security level 60 ) non sono raggiungibili dalla lan ( security level 100 ).
La cosa strana è che adesso www è raggiungibile anche dagli host della lan, ma anche se abilito gli icmp non passano. Può essere un limite della dmz restricted ?
Grazie a tutti
Inviato: gio 04 giu , 2009 1:47 pm
da Wizard
Mi sa che hai molta confuzione in testa...
Intanto ti consiglio di leggerti la lunga ma ottima documentazione sul sito Cisco!
Nel caso particolare il comando
dichiara l'ip di pat da usare
Solo quel comando nn serve a niente, occorre anche battezzare chi e da dove deve provenire il source pat con il comando:
Inviato: gio 04 giu , 2009 1:47 pm
da Wizard
Esempio:
Codice: Seleziona tutto
global (outside) 1 82.82.82.82
nat (inside) 1 192.168.0.0 255.255.255.0
Con questo comando dichiari che quando la rete 192.168.0.0/24 dietro la int inside deve andare verso la int outside deve essere pattata con l'ip 82.82.82.82
Inviato: ven 05 giu , 2009 9:02 am
da egarim
Wizard ha scritto:Esempio:
Codice: Seleziona tutto
global (outside) 1 82.82.82.82
nat (inside) 1 192.168.0.0 255.255.255.0
Con questo comando dichiari che quando la rete 192.168.0.0/24 dietro la int inside deve andare verso la int outside deve essere pattata con l'ip 82.82.82.82
Intanto grazie per la spiegazione. Nel mio caso in cui ho una dmz
Codice: Seleziona tutto
global (inside-lab-dmz) 1 interface
global (outside) 1 interface
nat (inside-uff) 1 192.168.0.0 255.255.255.0
nat (inside-lab-dmz) 1 10.0.0.0 255.255.255.0
prima di mettere la direttiva global (inside-lab-dmz) 1 interface dalla lan non riuscivo ad accedere agli host in dmz. Quindi quel global è l'assocciazione di un ip all'interfaccia ?
Inviato: ven 05 giu , 2009 9:45 am
da Wizard
prima di mettere la direttiva global (inside-lab-dmz) 1 interface dalla lan non riuscivo ad accedere agli host in dmz
Certo, sui FW Cisco per passare da una int alla altra occorre sapere come presentarsi (nat). Quindi, nel tuo caso si va da una int con peso maggiore ad una con peso minore quindi basta acl e pat
Inviato: ven 05 giu , 2009 9:45 am
da Wizard
Quindi quel global è l'assocciazione di un ip all'interfaccia?
Nel global indichi l'ip di quella int da usare come ip di pat
Inviato: ven 05 giu , 2009 3:02 pm
da egarim
Perfetto ora le cose sono più chiare!!
Inviato: ven 05 giu , 2009 8:27 pm
da Wizard
Bene!
Per fare comunicare lan con dmz e\o viceversa cmq ti consiglio il nat 0 o il nat statico rispetto al pat