Come fa l'ASA a nattare un ip interno che non ha connesso?
Inviato: lun 07 mar , 2011 12:42 pm
Ciao,
ho bisogno che qualcuno mi spieghi una cosa che proprio non riesco a capire:
Ho un'Asa così configurato:
interface Ethernet0/0
nameif DMZ
security-level 100
ip address 172.16.25.1 255.255.252.0
interface Ethernet0/2
nameif OUTSIDE
security-level 0
ip address 9.142.30.41 255.255.255.0
static (DMZ,OUTSIDE) 9.142.30.20 172.16.74.13 netmask 255.255.255.255
route DMZ 172.16.74.0 255.255.252.0 172.16.25.12 1
Il 172.16.25.12 è un firewall watchguard che non fa NAT ed ha un'acl aperta in ingresso per l'ip 172.16.74.13.
Il watchguard è direttamente connesso allo switch L3 che crea la vlan 172.16.74.0/24.
Quello che non riesco a capire è il motivo per cui funziona tutto correttamente senza fare il doppio NAT, ovvero dal 172.16.74.13 ad un ip della DMZ (NAT col Watchguard) e da questo IP della DMZ all'IP pubblico 9.142.30.20.
Come fa l'asa a nattare un ip interno che non ha direttamente connesso e ha tenerne traccia nelle connessioni dall'esterno(internet)?
ho bisogno che qualcuno mi spieghi una cosa che proprio non riesco a capire:
Ho un'Asa così configurato:
interface Ethernet0/0
nameif DMZ
security-level 100
ip address 172.16.25.1 255.255.252.0
interface Ethernet0/2
nameif OUTSIDE
security-level 0
ip address 9.142.30.41 255.255.255.0
static (DMZ,OUTSIDE) 9.142.30.20 172.16.74.13 netmask 255.255.255.255
route DMZ 172.16.74.0 255.255.252.0 172.16.25.12 1
Il 172.16.25.12 è un firewall watchguard che non fa NAT ed ha un'acl aperta in ingresso per l'ip 172.16.74.13.
Il watchguard è direttamente connesso allo switch L3 che crea la vlan 172.16.74.0/24.
Quello che non riesco a capire è il motivo per cui funziona tutto correttamente senza fare il doppio NAT, ovvero dal 172.16.74.13 ad un ip della DMZ (NAT col Watchguard) e da questo IP della DMZ all'IP pubblico 9.142.30.20.
Come fa l'asa a nattare un ip interno che non ha direttamente connesso e ha tenerne traccia nelle connessioni dall'esterno(internet)?