Pix501: Bloccare tutto tranne VPN
Moderatore: Federico.Lagni
-
RobertoGatto
- n00b
- Messaggi: 9
- Iscritto il: ven 21 dic , 2007 9:39 am
Grazie alla vostra collaborazione sono riuscito a far funzionare il VPN con un Pix501 e un client Cisco 4.x. Ora vorrei configurare il Pix affinchè tra inside e outside passino solo ed esclusivamente queste connessioni. Vorrei insomma che fossero bloccati tutti i pacchetti non pertinenti con le connessioni VPN, sia in un verso che nell'altro. Si può fare?
Roberto Gatto
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Allora, tu hai un pix che fa da vpn server...cioè, accetta le connessioni e permette da esterno di vedere la propria rete in modo sicuro...
Quindi, dal esterno se nn hai regole di nat statico che pubblicano servizi è già sicura la cosa: non entra altro che la vpn.
Non ho capito da inside verso outside...
Quindi, dal esterno se nn hai regole di nat statico che pubblicano servizi è già sicura la cosa: non entra altro che la vpn.
Non ho capito da inside verso outside...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Allora, tu hai un pix che fa da vpn server...cioè, accetta le connessioni e permette da esterno di vedere la propria rete in modo sicuro...
Quindi, dal esterno se nn hai regole di nat statico che pubblicano servizi è già sicura la cosa: non entra altro che la vpn.
Non ho capito da inside verso outside...
Quindi, dal esterno se nn hai regole di nat statico che pubblicano servizi è già sicura la cosa: non entra altro che la vpn.
Non ho capito da inside verso outside...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
RobertoGatto
- n00b
- Messaggi: 9
- Iscritto il: ven 21 dic , 2007 9:39 am
Wizard ha scritto: <CUT> Non ho capito da inside verso outside...
Può sembrare strano, ma è quello che mi serve: dall'interno (dalla LAN) non si deve poter navigare in Internet, ne' eseguire FTP o altro (Skype, Messanger...).
Tieni conto che il Pix andrà in un sito produttivo è l'unico scopo della connessione è poter accedere per attività di supervisione e controllo dei processi (con la VPN). In soldoni: il personale del sito non deve aver modo di navigare in internet..
Roberto Gatto
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
No problem:
access-l ACL-INSIDE remark *** ACL DA INSIDE VERSO OUTSIDE ***
access-l ACL-INSIDE permit ip RETE_INTERNA 255.255.255.0 host VPN_SERVER
access-l ACL-INSIDE deny ip any any log
access-gr ACL-INSIDE in int inside
access-l ACL-INSIDE remark *** ACL DA INSIDE VERSO OUTSIDE ***
access-l ACL-INSIDE permit ip RETE_INTERNA 255.255.255.0 host VPN_SERVER
access-l ACL-INSIDE deny ip any any log
access-gr ACL-INSIDE in int inside
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
RobertoGatto
- n00b
- Messaggi: 9
- Iscritto il: ven 21 dic , 2007 9:39 am
Perfetto. Quello che volevo.
Grazie.
Grazie.
Wizard ha scritto:No problem:
access-l ACL-INSIDE remark *** ACL DA INSIDE VERSO OUTSIDE ***
access-l ACL-INSIDE permit ip RETE_INTERNA 255.255.255.0 host VPN_SERVER
access-l ACL-INSIDE deny ip any any log
access-gr ACL-INSIDE in int inside
Roberto Gatto
