CiscoForums.it

Cisco Users Group
https://www.ciscoforums.it/

ASA 5505 e DMZ

https://www.ciscoforums.it/viewtopic.php?f=10&t=5872

Pagina 1 di 1

ASA 5505 e DMZ

Inviato: ven 03 ago , 2007 2:14 pm
da pivellocheimpara
Buongiorno a tutti.
Torno a chiedere il vostro aiuto dato che non riesco a far navigare in internet il pc sulla dmz.
Questa è la mia configurazione:

ASA Version 7.2(2)
!
hostname xxxxxxxxxx
domain-name xxxxxxxxxx
enable password xxxxxxxxxxxxxxxx encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.2.254 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address xxx.xxx.xxx.xxy 255.255.255.248
!
interface Vlan3
nameif dmz
security-level 50
ip address 10.0.0.1 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
switchport access vlan 3
!
interface Ethernet0/6
!
interface Ethernet0/7
!
[...]
object-group service OutToDMZ tcp
port-object range 12173 12175
port-object eq 8080
port-object eq 8989
port-object eq 8999
port-object eq ftp
port-object eq www
port-object eq https
port-object eq 1533
port-object eq 3389
object-group service OutToIn tcp
port-object eq smtp
object-group service InToDMZ tcp
port-object eq telnet
port-object eq smtp
port-object eq lotusnotes
object-group service DMZToIn tcp
port-object range 12173 12175
port-object eq 5400
port-object eq 5500
port-object eq 5800
port-object eq 5900
port-object eq 6050
port-object eq 8080
port-object eq 8989
port-object eq 8999
port-object eq ftp
port-object eq www
port-object eq https
port-object eq smtp
port-object eq ssh
port-object eq 3389
access-list DMZtoInside extended permit tcp host 10.0.0.2 192.168.100.0 255.255.255.0 object-group DMZToIn
access-list Out_to_In extended permit tcp any host xxx.xxx.xxx.xxx object-group OutToDMZ
[...]
global (outside) 1 interface
nat (inside) 1 192.168.2.0 255.255.255.0
nat (dmz) 1 10.0.0.0 255.255.255.0
static (dmz,outside) xxx.xxx.xxx.xxx 10.0.0.2 netmask 255.255.255.255
static (inside,dmz) 192.168.100.0 192.168.2.0 netmask 255.255.255.0
access-group Out_to_In in interface outside
access-group DMZtoInside in interface dmz
route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxz 1
[...]

xxx.xxx.xxx.xxx -> IP Pubblico http
xxx.xxx.xxx.xxy -> Altro Ip Pubblico
xxx.xxx.xxx.xxz -> gateway

Dove sbaglio? Internamente tutto funziona ma dmz non naviga mentre inside si.

Grazie
PcI :cry:

Inviato: ven 03 ago , 2007 4:55 pm
da Wizard
Sai che mi sa un problema di licenze...
Non ci crederai ma il 5505 con la licenza base fa funzionare il traffico della dmz solo in un verso...o solo verso internet o solo verso la inside...e dato che tu devi accedere alla inside...
Upgrada la licenza alla plus.

Inviato: lun 06 ago , 2007 1:01 pm
da pivellocheimpara
E' già stata installata anche la security plus (era nativa nel 5505 acquistato).

PcI

Inviato: lun 06 ago , 2007 1:28 pm
da Wizard
Configura la acl "DMZtoInside" per l'accesso ad internet oltre alla rete inside:

Codice: Seleziona tutto

access-list DMZtoInside extended permit tcp any any eq 80
access-list DMZtoInside extended permit tcp any any eq 443
access-list DMZtoInside extended permit tcp any any eq 25
access-list DMZtoInside extended permit tcp any any eq 110
access-list DMZtoInside extended permit udp any any eq 53
access-list DMZtoInside extended permit ...

Inviato: mar 04 set , 2007 2:14 pm
da pivellocheimpara
Ho provato a fare anche questa modifica ma nulla, il PC dietro la DMZ non va in internet.
Come controporva ho provato a mettere un secondo pc dietro alla dmz ma anche questo non riesce a raggiungere internet.
Abilitanod il logging non risultano errori o messaggi strani.

Grazie
PcI

Inviato: mar 04 set , 2007 2:42 pm
da Wizard
ma le acl in uscita dalla dmz "matchano"?
Fai uno "sh access-l" e controlla
Tutti gli orari sono UTC+01:00
Pagina 1 di 1

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Store.it