Confid di SA520
Inviato: gio 04 feb , 2010 4:38 pm
Ciao a tutti, è la prima volta che uso un SA520 e mi piacerebbe avere un vostro aiuto in merito alla configurazione sia per la parte di firewall che per quella di vpn.
Ho una rete che prevede una lan ed una dmz e di conseguenza la porta opzionale è usata come dmz, e per la macchina in dmz ho un ip pubblico dedicato (quindi diverso da quello attestato sulla wan e da quello attesato sul router), in particolare ho:
FirewallRules[2] = {}
FirewallRules[2]["DestinationPublicAddress"] = "ip_pub_http_server"
FirewallRules[2]["SourceAddressType"] = "0"
FirewallRules[2]["DestinationPublicInterface"] = "OTHER"
FirewallRules[2]["FromZoneType"] = "INSECURE"
FirewallRules[2]["RuleType"] = "INSECURE_PUBLIC"
FirewallRules[2]["DNATAddress"] = "ip_priv_http_Server_dmz"
FirewallRules[2]["Action"] = "ACCEPT"
FirewallRules[2]["_ROWID_"] = "84"
FirewallRules[2]["ServiceName"] = "HTTP"
FirewallRules[2]["Status"] = "1"
FirewallRules[2]["LogLevel"] = "1"
FirewallRules[2]["ToZoneType"] = "PUBLIC"
FirewallRules[2]["DNATPortEnable"] = "0"
con questa rules dovrei poter accettare il traffico http proveniente da qualunque host e questo traffico verrà dirottato verso l'indirizzo ip privato indicato in:
"DNATAddress"] = "ip_priv_http_Server_dmz"
è corretto ?
La seconda domanda riguarda una rules per far uscire la macchina in dmz usando l'indirizzo ip pubblico attraverso il quale offre il servizio http ma non sono riuscito a capire come fare e di conseguenza la macchina in dmz esce con l'ip attestato sulla wan del dispositivo.
Passando alla configurazione della vpn..vorrei utilizzare una vpn basata su ipsec e non su ssl e vorrei poter usare Xauth come forma di autenticazione, i dubbi sono:
- posso comunque utilizzare cisco quickvpn come client ?
- il range di indirizzi privati da assegnare ai client vpn remoti va indicato in "local traffic" è così ?
Grazie !
-
Salvatore.
Ho una rete che prevede una lan ed una dmz e di conseguenza la porta opzionale è usata come dmz, e per la macchina in dmz ho un ip pubblico dedicato (quindi diverso da quello attestato sulla wan e da quello attesato sul router), in particolare ho:
FirewallRules[2] = {}
FirewallRules[2]["DestinationPublicAddress"] = "ip_pub_http_server"
FirewallRules[2]["SourceAddressType"] = "0"
FirewallRules[2]["DestinationPublicInterface"] = "OTHER"
FirewallRules[2]["FromZoneType"] = "INSECURE"
FirewallRules[2]["RuleType"] = "INSECURE_PUBLIC"
FirewallRules[2]["DNATAddress"] = "ip_priv_http_Server_dmz"
FirewallRules[2]["Action"] = "ACCEPT"
FirewallRules[2]["_ROWID_"] = "84"
FirewallRules[2]["ServiceName"] = "HTTP"
FirewallRules[2]["Status"] = "1"
FirewallRules[2]["LogLevel"] = "1"
FirewallRules[2]["ToZoneType"] = "PUBLIC"
FirewallRules[2]["DNATPortEnable"] = "0"
con questa rules dovrei poter accettare il traffico http proveniente da qualunque host e questo traffico verrà dirottato verso l'indirizzo ip privato indicato in:
"DNATAddress"] = "ip_priv_http_Server_dmz"
è corretto ?
La seconda domanda riguarda una rules per far uscire la macchina in dmz usando l'indirizzo ip pubblico attraverso il quale offre il servizio http ma non sono riuscito a capire come fare e di conseguenza la macchina in dmz esce con l'ip attestato sulla wan del dispositivo.
Passando alla configurazione della vpn..vorrei utilizzare una vpn basata su ipsec e non su ssl e vorrei poter usare Xauth come forma di autenticazione, i dubbi sono:
- posso comunque utilizzare cisco quickvpn come client ?
- il range di indirizzi privati da assegnare ai client vpn remoti va indicato in "local traffic" è così ?
Grazie !
-
Salvatore.