ASA 5505 e DMZ

pivellocheimpara · ven 03 ago , 2007 2:14 pm

Buongiorno a tutti.
Torno a chiedere il vostro aiuto dato che non riesco a far navigare in internet il pc sulla dmz.
Questa è la mia configurazione:

ASA Version 7.2(2)
!
hostname xxxxxxxxxx
domain-name xxxxxxxxxx
enable password xxxxxxxxxxxxxxxx encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.2.254 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address xxx.xxx.xxx.xxy 255.255.255.248
!
interface Vlan3
nameif dmz
security-level 50
ip address 10.0.0.1 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
switchport access vlan 3
!
interface Ethernet0/6
!
interface Ethernet0/7
!
[...]
object-group service OutToDMZ tcp
port-object range 12173 12175
port-object eq 8080
port-object eq 8989
port-object eq 8999
port-object eq ftp
port-object eq www
port-object eq https
port-object eq 1533
port-object eq 3389
object-group service OutToIn tcp
port-object eq smtp
object-group service InToDMZ tcp
port-object eq telnet
port-object eq smtp
port-object eq lotusnotes
object-group service DMZToIn tcp
port-object range 12173 12175
port-object eq 5400
port-object eq 5500
port-object eq 5800
port-object eq 5900
port-object eq 6050
port-object eq 8080
port-object eq 8989
port-object eq 8999
port-object eq ftp
port-object eq www
port-object eq https
port-object eq smtp
port-object eq ssh
port-object eq 3389
access-list DMZtoInside extended permit tcp host 10.0.0.2 192.168.100.0 255.255.255.0 object-group DMZToIn
access-list Out_to_In extended permit tcp any host xxx.xxx.xxx.xxx object-group OutToDMZ
[...]
global (outside) 1 interface
nat (inside) 1 192.168.2.0 255.255.255.0
nat (dmz) 1 10.0.0.0 255.255.255.0
static (dmz,outside) xxx.xxx.xxx.xxx 10.0.0.2 netmask 255.255.255.255
static (inside,dmz) 192.168.100.0 192.168.2.0 netmask 255.255.255.0
access-group Out_to_In in interface outside
access-group DMZtoInside in interface dmz
route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxz 1
[...]

xxx.xxx.xxx.xxx -> IP Pubblico http
xxx.xxx.xxx.xxy -> Altro Ip Pubblico
xxx.xxx.xxx.xxz -> gateway

Dove sbaglio? Internamente tutto funziona ma dmz non naviga mentre inside si.

Grazie
PcI

Wizard · ven 03 ago , 2007 4:55 pm

Sai che mi sa un problema di licenze...
Non ci crederai ma il 5505 con la licenza base fa funzionare il traffico della dmz solo in un verso...o solo verso internet o solo verso la inside...e dato che tu devi accedere alla inside...
Upgrada la licenza alla plus.

pivellocheimpara · lun 06 ago , 2007 1:01 pm

E' già stata installata anche la security plus (era nativa nel 5505 acquistato).

PcI

Wizard · lun 06 ago , 2007 1:28 pm

Configura la acl "DMZtoInside" per l'accesso ad internet oltre alla rete inside:

Codice: Seleziona tutto

access-list DMZtoInside extended permit tcp any any eq 80
access-list DMZtoInside extended permit tcp any any eq 443
access-list DMZtoInside extended permit tcp any any eq 25
access-list DMZtoInside extended permit tcp any any eq 110
access-list DMZtoInside extended permit udp any any eq 53
access-list DMZtoInside extended permit ...

pivellocheimpara · mar 04 set , 2007 2:14 pm

Ho provato a fare anche questa modifica ma nulla, il PC dietro la DMZ non va in internet.
Come controporva ho provato a mettere un secondo pc dietro alla dmz ma anche questo non riesce a raggiungere internet.
Abilitanod il logging non risultano errori o messaggi strani.

Grazie
PcI

Wizard · mar 04 set , 2007 2:42 pm

ma le acl in uscita dalla dmz "matchano"?
Fai uno "sh access-l" e controlla

ASA 5505 e DMZ

Login • Iscriviti