RISOLTO: ASA 5505 navigazione internet

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
siland

Buongiorno a tutti.

Avrei la necessità di configurare un ASA (8.3) affinchè solo alcuni client (con IP definiti) possano accedere ad internet.

Ho provato a fare:

object-group network allow_ips
network-object host 192.168.1.100
network-object host 192.168.1.200
network-object host 192.168.1.201
access-list allowinternet extended permit ip object-group allow_ips any
access-list allowinternet extended deny ip any any

access-group allowinternet in interface inside

ma non sembra funzionare.
Dove sbaglio?

Grazie a tutti
Ultima modifica di siland il ven 06 mag , 2011 11:11 am, modificato 1 volta in totale.
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Il nat com'è impostato ?

Rizio
Si vis pacem para bellum
siland

nat (inside) 1 0.0.0.0 0.0.0.0

esiste anche un nat 0 per le vpn.

Ciao
siland

Risolto.

Ho tolto l'ultima ACL per il deny e riavviato.

Ora sembra funzionare.

Grazie comunque.
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

siland ha scritto:Risolto.

Ho tolto l'ultima ACL per il deny e riavviato.

Ora sembra funzionare.
Questa non è però una soluzione ma un workaround. Se gli ip sono quelli e devono uscire dritti c'è altro che non va.

Rizio
Si vis pacem para bellum
siland

Gli ip non sono quelli ma sono indicati degli ip fittizi.

Cos'è che non dovrebbe andare? Se ho sbagliato qualcosa dimmi pure che correggo subito. :oops:

Grazie

S.a.
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Non ha senso perchè se tu vuoi che questi IP (192.168.1.100, 192.168.1.200, 192.168.1.201) navighino liberamente e li ha messi in un acl questi devono navigare anche se c'è un acl di deny alla fine (per altro implicita).
Se tutto è configurato bene non puoi togliere la deny per far uscire degli IP in permit.

Rizio
Si vis pacem para bellum
siland

Infatti, la deny implicita è rimasta. Molto probabilmente il "doppione" non viene digerito molto bene dall'applicazione.

Comunque, grazie per le dritte.

siland
Rispondi