Ciao a tutti,
il mio FWSM cisco ha un comportamento che non riesco a spiegare. Il nat-control è abilitato, sono abilitate inoltre delle regole di nat exemption per il traffico proveniente da interfacce a livello di sicurezza più elevato. Il problema è questo: si riesce comunque ad originare traffico da interfacce a livello di sicurezza più basso verso zone di sicurezza più elevata. Il nat control non dovrebbe impedirlo ?
-----------------------------------------
ecco i pezzi configurazione più significativi:
!
interface Vlan100
nameif inside
security-level 100
ip address 192.168.100.1 255.255.255.0 standby 192.168.100.2
!
interface Vlan70
nameif dmz
security-level 70
ip address 192.168.70.1 255.255.255.0 standby 192.168.70.2
!
interface Vlan2
nameif outside
security-level 2
ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2
!
----
access-list bypass extended permit ip any any
--
nat-control
nat (inside) 0 access-list bypass
nat (privdmz) 0 access-list bypass
Grazie in anticipo per ogni suggerimento
nat-control bug?
Moderatore: Federico.Lagni
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Si, con il comando nat-control gestisci i nat come sulla ios 6 quindi se non c'è uno static, un nat0 o un pat non va!
Sicuro di non avere nessuna delle 3 cose scritte sopra?
Sicuro di non avere nessuna delle 3 cose scritte sopra?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
tricca
- n00b
- Messaggi: 11
- Iscritto il: gio 20 mar , 2008 8:57 pm
Dunque nell'ordine ho:
1_ nat-control
2_ nat exemption per tutte le reti
3_ static nat per alcuni host
Il comportamento che mi aspettavo era:
1_ avere tutti gli host interni che possono uscire all'esterno senza dover configurare alcun nat statico.
2_ avere gli host per cui ho configurato le statiche, raggiungibili dall'esterno (dopo aver configurato le acl appropriate).
Come dicevo nel primo post invece, ho notato che putroppo dallesterno si riesce ad originare traffico verso l'interno (anche se non c'è il nat statico). L'unica "protezione" che ho sono le acl.
Qualche spiegazione?
Grazie
1_ nat-control
2_ nat exemption per tutte le reti
3_ static nat per alcuni host
Il comportamento che mi aspettavo era:
1_ avere tutti gli host interni che possono uscire all'esterno senza dover configurare alcun nat statico.
2_ avere gli host per cui ho configurato le statiche, raggiungibili dall'esterno (dopo aver configurato le acl appropriate).
Come dicevo nel primo post invece, ho notato che putroppo dallesterno si riesce ad originare traffico verso l'interno (anche se non c'è il nat statico). L'unica "protezione" che ho sono le acl.
Qualche spiegazione?
Grazie
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Mi sembra impossibile...Come dicevo nel primo post invece, ho notato che putroppo dallesterno si riesce ad originare traffico verso l'interno (anche se non c'è il nat statico). L'unica "protezione" che ho sono le acl.
Anche senza nat-control attivo da una interfaccia con peso minore verso una con peso maggiore (tipo da outside verso inside) ci deve x forza essere la regola di nat statico 1:1
Fammi vedere la config!
P.s. Le acl bastano e avanzano cmq sia...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
