CiscoForums.it

Ciao a tutti
Ho un ASA 5510 ver 9.1. Quello che non riesco a fare, nonostante abbia guardato 1000 documentazioni, è fare in modo che un server FTP interno mi risponda ad un indirizzio pubblico sulla porta 2121, ma non funziona, non risponde il server. Di seguito lo stralcio della configurazione :

object network obj-ftp-192.168.253.3
host 192.168.253.3
nat (inside,outside) static XXX.XXX.XXX.XXX tcp service 21 2121

access-list ACL_OUTSIDE extended permit tcp any object obj-ftp-192.168.253.3 eq 2121

Grazie

e chiramente applicata la access-list al'interfaccia outside

Hai quel server ftp nattato già verso l'esterno con un IP pubblico?
Perchè per quel che sapevo io l'asa può fare nat di un oggetto solo una volta.

Rizio

Ciao Rizio
Intanto grazie per la risposta. In effetti ho già nattato altri servizi su quel server. Adesso apro una TAC con mamma Cisco e vedo come me lo risolvono...poi vi faccio sapere

Ciao

Ottimo, così impariamo tutti qualcosa

Rizio

Il problema molto probabilmente è causato dalla funzione ftp passive mode sul firewall che prevede oltre al nat della porta 21 anche l'apertura delle porte per il passive mode, altrimenti l'FTP non risponde.
Dunque le soluzioni sono 2:
1) oltre alla porta 21 natti anche le porte che servono per far funzionare il server FTP in passive mode, (es nel mio caso 2121 e 2122),e ovviamente sposti la porta esterna dalla 2121 a un'altra a tuo piacimento
2) semplicemente lasci il nat così come è sul firewall disattivi la modalità ftp passive mode (attiva di default sugli ASA) con il camndo Prova e facci sapere come va...
Emiliano
P.S. Devi anche modificare la porta della ACL da 2121 a 21 (indipendentemente da quale soluzione deciderai di utilizzare) altrimenti l'FTP non risponderebbe comunque

Ciao, eccoci qui
Allora, mamma Cisco mi ha fatto fare una diversa istruzione di nat per ogni servizio che gira sullo stesso server ftp e poi mi ha fatto fare un port forwarding come riportato sulla loro documentazione. Alla fine funziona anche se non è proprio bella da vedere....ci pensero' qualche notte in cui non riusciro' a dormire.

Ciao e grazie a tutti

pico65 ha scritto:Ciao, eccoci qui
Allora, mamma Cisco mi ha fatto fare una diversa istruzione di nat per ogni servizio che gira sullo stesso server ftp e poi mi ha fatto fare un port forwarding come riportato sulla loro documentazione. Alla fine funziona anche se non è proprio bella da vedere....ci pensero' qualche notte in cui non riusciro' a dormire.

Se puoi epura quella parte di conf dai tuoi dati e postala così rimane a "imperitura memoria"

Rizio

Detto fatto... posto la parte di configurazione relativa al servizio rdp in quanto non ho sottomano il fw con la configurazione relativa alla richiesta, in ogni caso il principio è lo stesso. Spero possa tornare utile ad altri
Ciao e grazie

object-group service SERVICE_SRV_SMTP tcp
port-object eq www
port-object eq 987
port-object eq https
port-object eq 995
port-object eq smtp
port-object eq 3389
access-list ACL_OUTSIDE extended permit tcp any object obj-INSIDE object-group SERVICE_SRV_SMTP
nat (outside,inside) source static any any destination static obj-OUTSIDE obj-INSIDE service port-10000 port-3389
nat (outside,inside) source static any any destination static obj-OUTSIDE obj-INSIDE service www www
nat (outside,inside) source static any any destination static obj-OUTSIDE obj-INSIDE service 987 987
nat (outside,inside) source static any any destination static obj-OUTSIDE obj-INSIDE service https https
nat (outside,inside) source static any any destination static obj-OUTSIDE obj-INSIDE service smtp smtp
nat (outside,inside) source static any any destination static obj-OUTSIDE obj-INSIDE service 995 995

Grazie a te, dalla tua descrizione mi aspettavo qualcosa di più "articolato" e incasinato, ma sono certo che sarà utile a qualcuno comunque sia.

Grazie
Rizio