CiscoForums.it

Cisco Users Group
https://www.ciscoforums.it/

nat su pix 501

https://www.ciscoforums.it/viewtopic.php?f=17&t=4398

Pagina 1 di 1

nat su pix 501

Inviato: mar 20 mar , 2007 12:06 am
da gullio23
ho una classe pubblica assegnata 83.xxx.xxx.96/29 come .97 ho un router fornito dal provider e subito con il 98 ho un pix 501 che ha anche come ip inside 192.168.1.51.
ho un problema strano, ho la necessita di far accedere dall'esterno l'applicativo vnc sulla porta 5500 utilizzando gli altri ip pubblici disponibili rispettivamente il .100 e il .101 sugli host 192.168.1.111 e 112.
configuro il mio pix con i seguenti statement.

static (inside,outside) 83.xxx.xxx.100 192.168.1.111 netmask 255.255.255.255 0 0
static (inside,outside) 83.xxx.xxx.101 192.168.1.112 netmask 255.255.255.255 0 0

poi faccio un access-list

access-list vnc permit tcp any host 83.xxx.xxx.100 eq 5500
access-list vnc permit tcp any host 83.xxx.xxx.101 eq 5500

e la lego all'interfaccia outside

access-group vnc in interface outside

dopo provo a fare un telnet a uno degli indirizzi alla porta 5500 senza risposta.
facendo sh xlate vedo gli ip translati cosi:

Global 83.xxx.xxx.100 Local 192.168.1.111

quindi il nat avviene, ma c'e qualcosa che non va, qualcuno sa darmi un consiglio?

grazie

Inviato: mar 20 mar , 2007 12:45 am
da [Dj][DMX]
Prova a fare uno show access-lists per vedere se c'รจ il match come prima cosa.

Inviato: mar 20 mar , 2007 2:54 pm
da gullio23
si le access list sono a posto quando faccio lo show, veramente non capisco cosa puo essere, puo essere un problema di routing tra il router ed il firewall???

grazie

Inviato: mer 21 mar , 2007 11:20 am
da Wizard
Controlla i vari gateway

Inviato: mer 21 mar , 2007 3:22 pm
da gullio23
pensando un po' e facendo vari test, secondo me il problema sta nel fatto di avere disabilitato il proxy arp sul firewall e che quindi per rispondermi su un ip che non e associato all'interfaccia del firewall ho bisogno di mettere un'arp statico per l'ip 83.xxx.xxx.100-101-102 sull'interfaccia outside del firewall.

provero stasera
grazie a tutti

Inviato: gio 29 mar , 2007 11:41 am
da gullio23
ho capito dove stava il problema dopo un attenta analisi, praticamente tutta questa procedura funziona perfettamente solo se abiliti il proxy arp sull interfaccia outside altrimenti patate.
pero mi domando una cosa, ma se io inserisco delle arp statiche per gli indirizzi che mi servono non ho fatto la stessa cosa che fa il proxy arp??
purtroppo non funziona in questa maniera.....

siccome il proxy arp e una cosa che odio perche e una gran falla per la sicurezza, qualcuno di voi sa come e possibile configurare tutto questo senza abilitare il proxy arp?

grazie
Giulio
Tutti gli orari sono UTC+01:00
Pagina 1 di 1

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Store.it