Buongiorno a tutti.
Avrei la necessità di configurare un ASA (8.3) affinchè solo alcuni client (con IP definiti) possano accedere ad internet.
Ho provato a fare:
object-group network allow_ips
network-object host 192.168.1.100
network-object host 192.168.1.200
network-object host 192.168.1.201
access-list allowinternet extended permit ip object-group allow_ips any
access-list allowinternet extended deny ip any any
access-group allowinternet in interface inside
ma non sembra funzionare.
Dove sbaglio?
Grazie a tutti
RISOLTO: ASA 5505 navigazione internet
Moderatore: Federico.Lagni
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Il nat com'è impostato ?
Rizio
Rizio
Si vis pacem para bellum
Risolto.
Ho tolto l'ultima ACL per il deny e riavviato.
Ora sembra funzionare.
Grazie comunque.
Ho tolto l'ultima ACL per il deny e riavviato.
Ora sembra funzionare.
Grazie comunque.
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Questa non è però una soluzione ma un workaround. Se gli ip sono quelli e devono uscire dritti c'è altro che non va.siland ha scritto:Risolto.
Ho tolto l'ultima ACL per il deny e riavviato.
Ora sembra funzionare.
Rizio
Si vis pacem para bellum
Gli ip non sono quelli ma sono indicati degli ip fittizi.
Cos'è che non dovrebbe andare? Se ho sbagliato qualcosa dimmi pure che correggo subito.
Grazie
S.a.
Cos'è che non dovrebbe andare? Se ho sbagliato qualcosa dimmi pure che correggo subito.
Grazie
S.a.
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Non ha senso perchè se tu vuoi che questi IP (192.168.1.100, 192.168.1.200, 192.168.1.201) navighino liberamente e li ha messi in un acl questi devono navigare anche se c'è un acl di deny alla fine (per altro implicita).
Se tutto è configurato bene non puoi togliere la deny per far uscire degli IP in permit.
Rizio
Se tutto è configurato bene non puoi togliere la deny per far uscire degli IP in permit.
Rizio
Si vis pacem para bellum
Infatti, la deny implicita è rimasta. Molto probabilmente il "doppione" non viene digerito molto bene dall'applicazione.
Comunque, grazie per le dritte.
siland
Comunque, grazie per le dritte.
siland