Ciao a tutti
Ho un ASA 5510 ver 9.1. Quello che non riesco a fare, nonostante abbia guardato 1000 documentazioni, è fare in modo che un server FTP interno mi risponda ad un indirizzio pubblico sulla porta 2121, ma non funziona, non risponde il server. Di seguito lo stralcio della configurazione :
object network obj-ftp-192.168.253.3
host 192.168.253.3
nat (inside,outside) static XXX.XXX.XXX.XXX tcp service 21 2121
access-list ACL_OUTSIDE extended permit tcp any object obj-ftp-192.168.253.3 eq 2121
Grazie
e chiramente applicata la access-list al'interfaccia outside
ASA 5510 Port forwarding
Moderatore: Federico.Lagni
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Hai quel server ftp nattato già verso l'esterno con un IP pubblico?
Perchè per quel che sapevo io l'asa può fare nat di un oggetto solo una volta.
Rizio
Perchè per quel che sapevo io l'asa può fare nat di un oggetto solo una volta.
Rizio
Si vis pacem para bellum
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Ottimo, così impariamo tutti qualcosa
Rizio
Rizio
Si vis pacem para bellum
- emiliano
- Network Emperor
- Messaggi: 280
- Iscritto il: lun 19 nov , 2012 11:44 am
Il problema molto probabilmente è causato dalla funzione ftp passive mode sul firewall che prevede oltre al nat della porta 21 anche l'apertura delle porte per il passive mode, altrimenti l'FTP non risponde.
Dunque le soluzioni sono 2:
1) oltre alla porta 21 natti anche le porte che servono per far funzionare il server FTP in passive mode, (es nel mio caso 2121 e 2122),e ovviamente sposti la porta esterna dalla 2121 a un'altra a tuo piacimento
2) semplicemente lasci il nat così come è sul firewall disattivi la modalità ftp passive mode (attiva di default sugli ASA) con il camndo
Prova e facci sapere come va...
Emiliano
P.S. Devi anche modificare la porta della ACL da 2121 a 21 (indipendentemente da quale soluzione deciderai di utilizzare) altrimenti l'FTP non risponderebbe comunque
Dunque le soluzioni sono 2:
1) oltre alla porta 21 natti anche le porte che servono per far funzionare il server FTP in passive mode, (es nel mio caso 2121 e 2122),e ovviamente sposti la porta esterna dalla 2121 a un'altra a tuo piacimento
2) semplicemente lasci il nat così come è sul firewall disattivi la modalità ftp passive mode (attiva di default sugli ASA) con il camndo
Codice: Seleziona tutto
no ftp mode passive
Emiliano
P.S. Devi anche modificare la porta della ACL da 2121 a 21 (indipendentemente da quale soluzione deciderai di utilizzare) altrimenti l'FTP non risponderebbe comunque
- KEEP CALM AND CARRY ON -
CISCO CCNA - CCNA Voice - CCDA - CCNP R&S - CCDP Certified
MICROSOFT MCP Certified
CISCO CCNA - CCNA Voice - CCDA - CCNP R&S - CCDP Certified
MICROSOFT MCP Certified
-
- n00b
- Messaggi: 7
- Iscritto il: ven 01 feb , 2013 5:47 pm
Ciao, eccoci qui
Allora, mamma Cisco mi ha fatto fare una diversa istruzione di nat per ogni servizio che gira sullo stesso server ftp e poi mi ha fatto fare un port forwarding come riportato sulla loro documentazione. Alla fine funziona anche se non è proprio bella da vedere....ci pensero' qualche notte in cui non riusciro' a dormire.
Ciao e grazie a tutti
Allora, mamma Cisco mi ha fatto fare una diversa istruzione di nat per ogni servizio che gira sullo stesso server ftp e poi mi ha fatto fare un port forwarding come riportato sulla loro documentazione. Alla fine funziona anche se non è proprio bella da vedere....ci pensero' qualche notte in cui non riusciro' a dormire.
Ciao e grazie a tutti
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Se puoi epura quella parte di conf dai tuoi dati e postala così rimane a "imperitura memoria"pico65 ha scritto:Ciao, eccoci qui
Allora, mamma Cisco mi ha fatto fare una diversa istruzione di nat per ogni servizio che gira sullo stesso server ftp e poi mi ha fatto fare un port forwarding come riportato sulla loro documentazione. Alla fine funziona anche se non è proprio bella da vedere....ci pensero' qualche notte in cui non riusciro' a dormire.
Rizio
Si vis pacem para bellum
-
- n00b
- Messaggi: 7
- Iscritto il: ven 01 feb , 2013 5:47 pm
Detto fatto... posto la parte di configurazione relativa al servizio rdp in quanto non ho sottomano il fw con la configurazione relativa alla richiesta, in ogni caso il principio è lo stesso. Spero possa tornare utile ad altri
Ciao e grazie
object-group service SERVICE_SRV_SMTP tcp
port-object eq www
port-object eq 987
port-object eq https
port-object eq 995
port-object eq smtp
port-object eq 3389
access-list ACL_OUTSIDE extended permit tcp any object obj-INSIDE object-group SERVICE_SRV_SMTP
nat (outside,inside) source static any any destination static obj-OUTSIDE obj-INSIDE service port-10000 port-3389
nat (outside,inside) source static any any destination static obj-OUTSIDE obj-INSIDE service www www
nat (outside,inside) source static any any destination static obj-OUTSIDE obj-INSIDE service 987 987
nat (outside,inside) source static any any destination static obj-OUTSIDE obj-INSIDE service https https
nat (outside,inside) source static any any destination static obj-OUTSIDE obj-INSIDE service smtp smtp
nat (outside,inside) source static any any destination static obj-OUTSIDE obj-INSIDE service 995 995
Ciao e grazie
object-group service SERVICE_SRV_SMTP tcp
port-object eq www
port-object eq 987
port-object eq https
port-object eq 995
port-object eq smtp
port-object eq 3389
access-list ACL_OUTSIDE extended permit tcp any object obj-INSIDE object-group SERVICE_SRV_SMTP
nat (outside,inside) source static any any destination static obj-OUTSIDE obj-INSIDE service port-10000 port-3389
nat (outside,inside) source static any any destination static obj-OUTSIDE obj-INSIDE service www www
nat (outside,inside) source static any any destination static obj-OUTSIDE obj-INSIDE service 987 987
nat (outside,inside) source static any any destination static obj-OUTSIDE obj-INSIDE service https https
nat (outside,inside) source static any any destination static obj-OUTSIDE obj-INSIDE service smtp smtp
nat (outside,inside) source static any any destination static obj-OUTSIDE obj-INSIDE service 995 995
Ultima modifica di pico65 il mer 13 feb , 2013 4:24 pm, modificato 1 volta in totale.
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Grazie a te, dalla tua descrizione mi aspettavo qualcosa di più "articolato" e incasinato, ma sono certo che sarà utile a qualcuno comunque sia.
Grazie
Rizio
Grazie
Rizio
Si vis pacem para bellum