Config di PAT Statico con più porte

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
sasa
Cisco fan
Messaggi: 45
Iscritto il: lun 23 nov , 2009 4:10 pm

Ciao a tutti, su di un ASA 5505 non è possibile configurare un PAT statico che faccia riferimento a più porte ma allo stesso tempo non è nemmeno possibile utilizzare un Service Groups, io però mi trovo nella seguente condizione:

- un mail server interno alla lan che usa le porte pop3/ smtp, ed il suo IP interno è 192.168.1.80
- due indirizzi IP pubblici, uno è in uso dall'interfaccia Vlan2 ae l'altro vorrei usarlo per fare PAT in relazione al mail server interno, quindi:

interface vlan2 --> 88.88.88.88
ip privato mail server --> 192.168.1.80
ip pubblico mail server --> 88.88.88.89

all'interno del file di configurazione dell'ASA ho:

static (inside,outside) 88.88.88.89 192.168.1.80 netmask 255.255.255.255

ma come posso specificare le due porte tcp/25 e tcp/110 per lo stesso PAT statico ?
Grazie.

-
Salvatore.

-
Salvatore.
Top
Avatar utente
rinux
Cisco fan
Messaggi: 71
Iscritto il: mer 22 apr , 2009 4:20 pm
Località: near Frosinone

Ciao,
static (inside,outside) 88.88.88.89 192.168.1.80 netmask 255.255.255.255
...spero di aver capito bene, puoi:

1) raggruppare i servizi per le varie access-list ed altro con:

Codice: Seleziona tutto

object-group service mail-service
 service-object tcp eq 25
 service-object tcp eq 110
 service-object tcp eq 143
 service-object tcp eq 993
 service-object tcp eq 995

2) inserire nella lista di accesso dall'esterno la regola:

Codice: Seleziona tutto

access-list outside_access_in extended permit object-group mail-service any any log disable

3) inserire una regola di PAT per uscire con qualunque porta

Codice: Seleziona tutto

nat-control
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0

4) inserire le varie regole per nattare le porte volute:

Codice: Seleziona tutto

static (inside,outside) 88.88.88.89 25  192.168.1.80 25  netmask 255.255.255.255
static (inside,outside) 88.88.88.89 110 192.168.1.80 110 netmask 255.255.255.255
static (inside,outside) 88.88.88.89 143 192.168.1.80 143 netmask 255.255.255.255
static (inside,outside) 88.88.88.89 993 192.168.1.80 993 netmask 255.255.255.255
static (inside,outside) 88.88.88.89 995 192.168.1.80 995 netmask 255.255.255.255
A quest'ora non posso verificare se è possibile inserire altro se non la singola porta sulle regole di nat statico; ma alla fine non credo che sia un peso mettere una regola per ogni servizio erogato, difficilmente si superano le 15 regole :)

NB: ....tra l'altro perchè non attivare le funzioni di proxy dell'ASA per i servizi di posta?

73
Arturo
Top
Rispondi

Torna a “Configurazioni”