ASA 5510 Port forwarding

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
pico65
n00b
Messaggi: 7
Iscritto il: ven 01 feb , 2013 5:47 pm

Ciao a tutti
Ho un ASA 5510 ver 9.1. Quello che non riesco a fare, nonostante abbia guardato 1000 documentazioni, è fare in modo che un server FTP interno mi risponda ad un indirizzio pubblico sulla porta 2121, ma non funziona, non risponde il server. Di seguito lo stralcio della configurazione :

object network obj-ftp-192.168.253.3
host 192.168.253.3
nat (inside,outside) static XXX.XXX.XXX.XXX tcp service 21 2121

access-list ACL_OUTSIDE extended permit tcp any object obj-ftp-192.168.253.3 eq 2121

Grazie

e chiramente applicata la access-list al'interfaccia outside
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Hai quel server ftp nattato già verso l'esterno con un IP pubblico?
Perchè per quel che sapevo io l'asa può fare nat di un oggetto solo una volta.

Rizio
Si vis pacem para bellum
pico65
n00b
Messaggi: 7
Iscritto il: ven 01 feb , 2013 5:47 pm

Ciao Rizio
Intanto grazie per la risposta. In effetti ho già nattato altri servizi su quel server. Adesso apro una TAC con mamma Cisco e vedo come me lo risolvono...poi vi faccio sapere

Ciao
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Ottimo, così impariamo tutti qualcosa :)

Rizio
Si vis pacem para bellum
Avatar utente
emiliano
Network Emperor
Messaggi: 280
Iscritto il: lun 19 nov , 2012 11:44 am

Il problema molto probabilmente è causato dalla funzione ftp passive mode sul firewall che prevede oltre al nat della porta 21 anche l'apertura delle porte per il passive mode, altrimenti l'FTP non risponde.
Dunque le soluzioni sono 2:
1) oltre alla porta 21 natti anche le porte che servono per far funzionare il server FTP in passive mode, (es nel mio caso 2121 e 2122),e ovviamente sposti la porta esterna dalla 2121 a un'altra a tuo piacimento
2) semplicemente lasci il nat così come è sul firewall disattivi la modalità ftp passive mode (attiva di default sugli ASA) con il camndo

Codice: Seleziona tutto

no ftp mode passive
Prova e facci sapere come va...
Emiliano
P.S. Devi anche modificare la porta della ACL da 2121 a 21 (indipendentemente da quale soluzione deciderai di utilizzare) altrimenti l'FTP non risponderebbe comunque ;)
- KEEP CALM AND CARRY ON -

CISCO CCNA - CCNA Voice - CCDA - CCNP R&S - CCDP Certified
MICROSOFT MCP Certified
pico65
n00b
Messaggi: 7
Iscritto il: ven 01 feb , 2013 5:47 pm

Ciao, eccoci qui
Allora, mamma Cisco mi ha fatto fare una diversa istruzione di nat per ogni servizio che gira sullo stesso server ftp e poi mi ha fatto fare un port forwarding come riportato sulla loro documentazione. Alla fine funziona anche se non è proprio bella da vedere....ci pensero' qualche notte in cui non riusciro' a dormire.

Ciao e grazie a tutti
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

pico65 ha scritto:Ciao, eccoci qui
Allora, mamma Cisco mi ha fatto fare una diversa istruzione di nat per ogni servizio che gira sullo stesso server ftp e poi mi ha fatto fare un port forwarding come riportato sulla loro documentazione. Alla fine funziona anche se non è proprio bella da vedere....ci pensero' qualche notte in cui non riusciro' a dormire.
Se puoi epura quella parte di conf dai tuoi dati e postala così rimane a "imperitura memoria" :)

Rizio
Si vis pacem para bellum
pico65
n00b
Messaggi: 7
Iscritto il: ven 01 feb , 2013 5:47 pm

Detto fatto... posto la parte di configurazione relativa al servizio rdp in quanto non ho sottomano il fw con la configurazione relativa alla richiesta, in ogni caso il principio è lo stesso. Spero possa tornare utile ad altri
Ciao e grazie

object-group service SERVICE_SRV_SMTP tcp
port-object eq www
port-object eq 987
port-object eq https
port-object eq 995
port-object eq smtp
port-object eq 3389
access-list ACL_OUTSIDE extended permit tcp any object obj-INSIDE object-group SERVICE_SRV_SMTP
nat (outside,inside) source static any any destination static obj-OUTSIDE obj-INSIDE service port-10000 port-3389
nat (outside,inside) source static any any destination static obj-OUTSIDE obj-INSIDE service www www
nat (outside,inside) source static any any destination static obj-OUTSIDE obj-INSIDE service 987 987
nat (outside,inside) source static any any destination static obj-OUTSIDE obj-INSIDE service https https
nat (outside,inside) source static any any destination static obj-OUTSIDE obj-INSIDE service smtp smtp
nat (outside,inside) source static any any destination static obj-OUTSIDE obj-INSIDE service 995 995
Ultima modifica di pico65 il mer 13 feb , 2013 4:24 pm, modificato 1 volta in totale.
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Grazie a te, dalla tua descrizione mi aspettavo qualcosa di più "articolato" e incasinato, ma sono certo che sarà utile a qualcuno comunque sia.

Grazie
Rizio
Si vis pacem para bellum
Rispondi