nat su pix 501

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
gullio23
Cisco fan
Messaggi: 38
Iscritto il: gio 08 mar , 2007 8:37 pm

ho una classe pubblica assegnata 83.xxx.xxx.96/29 come .97 ho un router fornito dal provider e subito con il 98 ho un pix 501 che ha anche come ip inside 192.168.1.51.
ho un problema strano, ho la necessita di far accedere dall'esterno l'applicativo vnc sulla porta 5500 utilizzando gli altri ip pubblici disponibili rispettivamente il .100 e il .101 sugli host 192.168.1.111 e 112.
configuro il mio pix con i seguenti statement.

static (inside,outside) 83.xxx.xxx.100 192.168.1.111 netmask 255.255.255.255 0 0
static (inside,outside) 83.xxx.xxx.101 192.168.1.112 netmask 255.255.255.255 0 0

poi faccio un access-list

access-list vnc permit tcp any host 83.xxx.xxx.100 eq 5500
access-list vnc permit tcp any host 83.xxx.xxx.101 eq 5500

e la lego all'interfaccia outside

access-group vnc in interface outside

dopo provo a fare un telnet a uno degli indirizzi alla porta 5500 senza risposta.
facendo sh xlate vedo gli ip translati cosi:

Global 83.xxx.xxx.100 Local 192.168.1.111

quindi il nat avviene, ma c'e qualcosa che non va, qualcuno sa darmi un consiglio?

grazie
Top
[Dj][DMX]
Coamministratore
Messaggi: 428
Iscritto il: mer 24 nov , 2004 12:42 am
Località: Udine

Prova a fare uno show access-lists per vedere se c'è il match come prima cosa.
Io non so se Dio esiste, ma se esiste spero abbia una buona scusa!
Piergiorgio Welby
Top
gullio23
Cisco fan
Messaggi: 38
Iscritto il: gio 08 mar , 2007 8:37 pm

si le access list sono a posto quando faccio lo show, veramente non capisco cosa puo essere, puo essere un problema di routing tra il router ed il firewall???

grazie
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Controlla i vari gateway
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
gullio23
Cisco fan
Messaggi: 38
Iscritto il: gio 08 mar , 2007 8:37 pm

pensando un po' e facendo vari test, secondo me il problema sta nel fatto di avere disabilitato il proxy arp sul firewall e che quindi per rispondermi su un ip che non e associato all'interfaccia del firewall ho bisogno di mettere un'arp statico per l'ip 83.xxx.xxx.100-101-102 sull'interfaccia outside del firewall.

provero stasera
grazie a tutti
Top
gullio23
Cisco fan
Messaggi: 38
Iscritto il: gio 08 mar , 2007 8:37 pm

ho capito dove stava il problema dopo un attenta analisi, praticamente tutta questa procedura funziona perfettamente solo se abiliti il proxy arp sull interfaccia outside altrimenti patate.
pero mi domando una cosa, ma se io inserisco delle arp statiche per gli indirizzi che mi servono non ho fatto la stessa cosa che fa il proxy arp??
purtroppo non funziona in questa maniera.....

siccome il proxy arp e una cosa che odio perche e una gran falla per la sicurezza, qualcuno di voi sa come e possibile configurare tutto questo senza abilitare il proxy arp?

grazie
Giulio
Top
Rispondi

Torna a “Sicurezza”