Pagina 1 di 1
ASA 5505 SEC PLUS
Inviato: mer 26 set , 2007 2:48 pm
da pivellocheimpara
Domanda un po' stupida:
Qualcuno di voi ha già provato ad installare uno di questi "aggeggi" con LAN, WAN e DMZ?
Sono alcuni mesi che mi scervello per farlo andare ma nulla. Da LAN a WAN funziona; da LAN a DMZ funziona; da DMZ a LAN (per le porta che mi interessano) funziona; da DMZ a WAN non funziona, anzi, funziona solamente se tolgo qualsialsi access-list che intacchi la porta DMZ.
Se guardate i miei post precedenti potete vedere anche le ultime configurazioni che ho provato.
Grazie
PcI
Inviato: mer 26 set , 2007 3:01 pm
da Wizard
anzi, funziona solamente se tolgo qualsialsi access-list che intacchi la porta DMZ.
Ci sarà un problema su quelle acl...
Facci vedere quelle acl
Inviato: mer 26 set , 2007 3:15 pm
da pivellocheimpara
....
access-list DMZtoINSIDE extended permit tcp host 10.0.0.2 192.168.2.0 255.255.255.0 eq 8080
access-list DMZtoINSIDE extended permit tcp host 10.0.0.2 192.168.2.0 255.255.255.0 eq 8089
access-list DMZtoINSIDE extended permit tcp host 10.0.0.2 192.168.2.0 255.255.255.0 eq 8989
access-list DMZtoINSIDE extended permit tcp host 10.0.0.2 192.168.2.0 255.255.255.0 eq 8999
access-list DMZtoINSIDE extended permit tcp host 10.0.0.2 192.168.2.0 255.255.255.0 eq lotusnotes
access-list DMZtoINSIDE extended permit tcp host 10.0.0.2 192.168.2.0 255.255.255.0 eq smtp
access-list DMZtoINSIDE extended permit tcp host 10.0.0.2 192.168.2.0 255.255.255.0 range 12173 12175
access-list DMZtoINSIDE extended deny tcp any 192.168.2.0 255.255.255.0
access-list DMZtoINSIDE extended permit tcp any any eq www
access-list DMZtoINSIDE extended permit tcp any any eq https
access-list OUTSIDEtoDMZ extended permit tcp any host xxx.xxx.xxx.xxx eq 8080
access-list OUTSIDEtoDMZ extended permit tcp any host xxx.xxx.xxx.xxx eq 8989
access-list OUTSIDEtoDMZ extended permit tcp any host xxx.xxx.xxx.xxx eq 8999
access-list OUTSIDEtoDMZ extended permit tcp any host xxx.xxx.xxx.xxx eq ftp
access-list OUTSIDEtoDMZ extended permit tcp any host xxx.xxx.xxx.xxx eq www
access-list OUTSIDEtoDMZ extended permit tcp any host xxx.xxx.xxx.xxx eq https
access-list OUTSIDEtoDMZ extended permit tcp any host xxx.xxx.xxx.xxx eq 1533
access-list OUTSIDEtoDMZ extended permit tcp any host xxx.xxx.xxx.xxx range 12173 12175
access-list OUTSIDEtoDMZ extended permit tcp any host xxx.xxx.xxx.xxx eq smtp
....
nat (inside) 1 192.168.2.0 255.255.255.0
nat (dmz) 1 10.0.0.0 255.255.255.0
static (inside,dmz) 10.0.0.0 192.168.2.0 netmask 255.255.255.0
static (dmz,outside) xxx.xxx.xxx.xxx 10.0.0.2 netmask 255.255.255.255
access-group OUTSIDEtoDMZ in interface outside
access-group DMZtoINSIDE in interface dmz
...
Grazie
PcI
Inviato: mer 26 set , 2007 3:34 pm
da Wizard
Manca la acl in uscita x le risoluzioni dns e il protocollo icmp per i test...
Codice: Seleziona tutto
access-list DMZtoINSIDE extended permit udp any any eq 53
access-list DMZtoINSIDE extended permit icmp any any
Metti queste acl sotto alla tua:
access-list DMZtoINSIDE extended permit tcp any any eq https
Inviato: mer 26 set , 2007 3:51 pm
da pivellocheimpara
Domani mattina provo e ti faccio sapere.
Grazie intanto.
PcI
