CiscoForums.it

Un saluto a tutto il forum.

Siamo due ragazzi che, per tirocinio universitario, si stanno occupando della configurazione di un firewall Cisco ASA 5520.

Non riusciamo a capire perché quando andiamo a configurare una regola di nat statico, che vuole mappare un server sulla rete inside e proporlo sulla outside, poi non si riesce più a navigare dal server stesso. Il server risponde correttamente alle richieste, ma proprio non riesce ad uscire in alcun modo.

La riga incriminata è semplicemente questa:

static (inside,outside) 140.164.x.y 192.168.z.k netmask 255.255.255.255

Poi ovviamente c'è l'access-list e l'access-group per definire porte e tutto il resto, ma basta soltanto dichiarare questa riga per negare l'accesso all'esterno da 192.168.z.k
Se la elimino, il server esce tranquillamente su Internet tramite la
regole di nat dinamico, ma appena introduco questa regola nella configurazione, il server non può più effettuare connessioni outbound.
Nel frattempo, tutte le connessioni inbound vengono onorate e il flusso di dati viene scambiato correttamente.

Come posso risolvere questo dilemma?

Mi scuso per la domanda molto stupida, ma ci hanno messo in mano questo Cisco ASA senza nemmeno qualche spiegazione e stiamo facendo tutto da soli non con poca fatica.

Grazie a tutti.

Posso sapere che regole di NAT avete applicato all'inside ?

Potrebbero andare in overlapping con la static.

Provate ad eliminare il nat (inside) che si riferisce al server. Ha già la statica. Ed esce con quell'indirizzo.

Se avete un nat (inside) 0 0 0 la faccenda si complica un pò..



Ciao Matteo

Fate un bel "sh run" e postate la attuale configurazione

Ma perche proprio 5520? Un 5510 per i test non andava bene?!?!?

Beh, diciamo che il problema si è risolto da solo, molto stranamente.
Abbiamo lasciato il firewall una notte a "rodarsi", poi il giorno dopo abbiamo riapplicato la stessa regola e funziona egregiamente.
Per fare la prova definitiva abbiamo riavviato lo switch e riprovato a freddo e non ha dato problemi.
Tutt'ora il firewall con la regola succitata funziona egregiamente.

Non sappiamo che pensare, se non che fosse un problema interno causato da troppo smanettamento...

Ok. Scoperta la causa: probabilmente lo switch di area manteneva nella sua cache arp il vecchio mac address e, nel tentativo di evitare lo spoofing dell'ip, non inoltrava il traffico dall'interfaccia del firewall verso il router di area. Difatti non riuscivamo neppura a pingare il router. Dopo aver atteso qualche ora sarà scaduta l'entry nella cache ARP e adesso possiamo uscire... Che casino però!

Che bel casino aggiungerei. Non stai lavorando con i giocattolini ed è questo il bello di questo lavoro. Sono i dispositivi che mandano aventi delle più grandi aziende Italiane (aggiungerei anche mondiali!) pertanto non possono essere P'n'P!!!!

Ciao