CiscoForums.it

Cisco Users Group
https://www.ciscoforums.it/

nat-control bug?

https://www.ciscoforums.it/viewtopic.php?f=17&t=9451

Pagina 1 di 1

nat-control bug?

Inviato: ven 12 set , 2008 11:34 pm
da tricca
Ciao a tutti,

il mio FWSM cisco ha un comportamento che non riesco a spiegare. Il nat-control è abilitato, sono abilitate inoltre delle regole di nat exemption per il traffico proveniente da interfacce a livello di sicurezza più elevato. Il problema è questo: si riesce comunque ad originare traffico da interfacce a livello di sicurezza più basso verso zone di sicurezza più elevata. Il nat control non dovrebbe impedirlo ?
-----------------------------------------
ecco i pezzi configurazione più significativi:

!
interface Vlan100
nameif inside
security-level 100
ip address 192.168.100.1 255.255.255.0 standby 192.168.100.2
!
interface Vlan70
nameif dmz
security-level 70
ip address 192.168.70.1 255.255.255.0 standby 192.168.70.2
!
interface Vlan2
nameif outside
security-level 2
ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2
!
----
access-list bypass extended permit ip any any
--
nat-control
nat (inside) 0 access-list bypass
nat (privdmz) 0 access-list bypass



Grazie in anticipo per ogni suggerimento

Inviato: lun 15 set , 2008 10:18 am
da Wizard
Si, con il comando nat-control gestisci i nat come sulla ios 6 quindi se non c'è uno static, un nat0 o un pat non va!

Sicuro di non avere nessuna delle 3 cose scritte sopra?

Inviato: lun 15 set , 2008 1:34 pm
da tricca
Dunque nell'ordine ho:

1_ nat-control
2_ nat exemption per tutte le reti
3_ static nat per alcuni host

Il comportamento che mi aspettavo era:
1_ avere tutti gli host interni che possono uscire all'esterno senza dover configurare alcun nat statico.
2_ avere gli host per cui ho configurato le statiche, raggiungibili dall'esterno (dopo aver configurato le acl appropriate).

Come dicevo nel primo post invece, ho notato che putroppo dallesterno si riesce ad originare traffico verso l'interno (anche se non c'è il nat statico). L'unica "protezione" che ho sono le acl.

Qualche spiegazione?

Grazie

Inviato: lun 15 set , 2008 2:29 pm
da Wizard
Come dicevo nel primo post invece, ho notato che putroppo dallesterno si riesce ad originare traffico verso l'interno (anche se non c'è il nat statico). L'unica "protezione" che ho sono le acl.
Mi sembra impossibile...
Anche senza nat-control attivo da una interfaccia con peso minore verso una con peso maggiore (tipo da outside verso inside) ci deve x forza essere la regola di nat statico 1:1

Fammi vedere la config!

P.s. Le acl bastano e avanzano cmq sia...
Tutti gli orari sono UTC+01:00
Pagina 1 di 1

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Store.it