NAT

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
lasttts
n00b
Messaggi: 5
Iscritto il: lun 31 mar , 2008 2:32 pm

Ciao a tutti,
Vi distrunbo per una informazione.
Ho un ASA 5510.
Devo poter inoltrare tutto il traffico destinato alla porta 8080 di un determinato indirizzo IP pubblico verso la porta 80 dell'indirizzo privato.
In più devo mantenete un nat statico del "real ip" con il "mapped ip".
Questa è la conf:

static (INSIDE,OUTSIDE) tcp 230.230.230.230 8080 10.0.0.11 www netmask 255.255.255.255

static (INSIDE,OUTSIDE) 230.230.230.230 10.0.0.11 netmask 255.255.255.255

C'e' un problema però, se inserisco prima il nat statico (seconda riga di configurazione) e poi il port redirection (prima riga di conf) ottengo un messaggio di errore che mi evita l'inserimento. Se inserisco i comandi nell'ordine come mostrato ho il seguente messaggio:
"WARNING: mapped-address conflict with existing static"
TCP INSIDE:10.0.0.11/80 to OUTSIDE:230.230.230.230/8080 netmask 255.255.255.255

"WARNING: real-address conflict with existing static"
TCP INSIDE:10.0.0.11/80 to OUTSIDE:230.230.230.230/8080 netmask 255.255.255.255

C'è un modo più corretto per ottenere lo stesso risultato ?

Grazie a tutti.
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Fregatene, è un warning non un error.
Metti pure le 2 righe in questo ordine

static (INSIDE,OUTSIDE) tcp 230.230.230.230 8080 10.0.0.11 www netmask 255.255.255.255

static (INSIDE,OUTSIDE) 230.230.230.230 10.0.0.11 netmask 255.255.255.255

e fai uno "sh run" per vedere se le ha caricate entrambe.
Ricordati di mettere le acl in ingresso
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
lasttts
n00b
Messaggi: 5
Iscritto il: lun 31 mar , 2008 2:32 pm

Perfetto grazie.
Stavo impazzendo per cercare un metodo alternativo, es. Policy NAT, ma non ne venivo a capo ... :(
alfig86
n00b
Messaggi: 8
Iscritto il: mer 04 mar , 2009 9:48 am

Ciao a tutti, ho un problema,
devo elimimare un solo indirizzo ip publico da una classe di 62 indirizzi ip.

Sul firewall (PIX CISCO ) è impostato questo comando

static (inside,outside) xxx.xxx.xxx.xxx 192.168.0.128 netmask 255.255.255.192

se ad esempio volessi togliere solo l'indirizzo 192.168.0.135 da questo nat come devo fare??

Grazie
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

E perchè dovresti rimuoverlo?!
Nega il traffico con una acl
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
alfig86
n00b
Messaggi: 8
Iscritto il: mer 04 mar , 2009 9:48 am

Devo rimuoverlo perche poi dovro riutilizzare quell'indirizzo publico se utilizzo l'acl nego il traffico ma non è quello che serve a me..hai qualche idea??

Grazie mille per la risposta :D :D
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Allora:

static (inside,outside) xxx.xxx.xxx.xxx 192.168.0.128 netmask 255.255.255.192

Questa statc a cosa ti serve, per fare uscire la tua rete interna con gli ip pubblici?!
E' uno spreco di ip e un affronto alla sicurezza!

Cancella quella regola di nat, gestisci il nat verso internet con il pat e x gli ip che devi pubblicare fai delle regole di static però con indirizzi /32
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
alfig86
n00b
Messaggi: 8
Iscritto il: mer 04 mar , 2009 9:48 am

Quella regola di nat era stata fatta perche servivano tutti quegli indirizzi ip nattati 1:1.

Dal momento che pero adesso alcuni indirizzi interni sono stati dismessi è necessario recuperare gli indirizzi ip publici per riutilizzartli.

Forse sono stato poco chiaro prima nel esporre il mio problema :

Io ho bisogno di liberare un po di indirizzi ip da questa classe ma non posso eliminare direttamente tutta la regola perche ancora l' 80% delle nat è in funzione.
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Io ho bisogno di liberare un po di indirizzi ip da questa classe ma non posso eliminare direttamente tutta la regola perche ancora l' 80% delle nat è in funzione.
So che è una palla ma devi cancellare quella regola e crearne n puntuali
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
alfig86
n00b
Messaggi: 8
Iscritto il: mer 04 mar , 2009 9:48 am

a questa soluzione ci avevo gia pensato. :( :( :( :(

vabbe comunque è strano che non si possa eliminare una nat da questo range...

Grazie per la disponibilita se hai news a riguardo fammi sapere
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Eh, sinceramente nn mi viene in mente nessun metodo anche teorico
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Rispondi