CiscoForums.it

Grazie alla vostra collaborazione sono riuscito a far funzionare il VPN con un Pix501 e un client Cisco 4.x. Ora vorrei configurare il Pix affinchè tra inside e outside passino solo ed esclusivamente queste connessioni. Vorrei insomma che fossero bloccati tutti i pacchetti non pertinenti con le connessioni VPN, sia in un verso che nell'altro. Si può fare?

Allora, tu hai un pix che fa da vpn server...cioè, accetta le connessioni e permette da esterno di vedere la propria rete in modo sicuro...
Quindi, dal esterno se nn hai regole di nat statico che pubblicano servizi è già sicura la cosa: non entra altro che la vpn.

Non ho capito da inside verso outside...

Allora, tu hai un pix che fa da vpn server...cioè, accetta le connessioni e permette da esterno di vedere la propria rete in modo sicuro...
Quindi, dal esterno se nn hai regole di nat statico che pubblicano servizi è già sicura la cosa: non entra altro che la vpn.

Non ho capito da inside verso outside...

Wizard ha scritto: <CUT> Non ho capito da inside verso outside...

Può sembrare strano, ma è quello che mi serve: dall'interno (dalla LAN) non si deve poter navigare in Internet, ne' eseguire FTP o altro (Skype, Messanger...).
Tieni conto che il Pix andrà in un sito produttivo è l'unico scopo della connessione è poter accedere per attività di supervisione e controllo dei processi (con la VPN). In soldoni: il personale del sito non deve aver modo di navigare in internet..

No problem:

access-l ACL-INSIDE remark *** ACL DA INSIDE VERSO OUTSIDE ***
access-l ACL-INSIDE permit ip RETE_INTERNA 255.255.255.0 host VPN_SERVER
access-l ACL-INSIDE deny ip any any log

access-gr ACL-INSIDE in int inside

Perfetto. Quello che volevo.
Grazie.

Wizard ha scritto:No problem:

access-l ACL-INSIDE remark *** ACL DA INSIDE VERSO OUTSIDE ***
access-l ACL-INSIDE permit ip RETE_INTERNA 255.255.255.0 host VPN_SERVER
access-l ACL-INSIDE deny ip any any log

access-gr ACL-INSIDE in int inside