Info nat su asa

[spidermanz]

Salve a tutti, ho da chiedervi delle info ed eventualmente suggerimenti su un dubbio.

premessa ho un nat configurato sull'asa con un pool di ip pubblici disponibili, alcune macchine che forniscono servizi web sono nattati per essere raggiunti dall'esterno.

Perchè raggiungo correttamente la macchina dall'esterno senza problemi, ma vicerversa quando la macchina parla verso l'esterno si presenta con un ip pubblico diverso da quello configurato (un altro ip della subnet di ip pubblici a disposizione) che parametro mi sono perso nella configurazione dell'asa?

ho pensato di dover applicare la regola inversamente.. ma mi sembra strano e non mi è chiaro come farlo.

grazie

[hashashin]

ciao

posta la configurazione dell'asa (togliendo IP pubblici e password), così potremmo avere la situazione un poco più chiara.

[spidermanz]

questa la parte riguardante il nat:

global (InterfaceOutside) 1 interface
nat (InterfaceInside) 0 access-list nonat
nat (InterfaceInside) 1 192.168.1.0 255.255.255.0
nat (lanprovider) 0 access-list nonat
static (InterfaceInside,InterfaceOutside) tcp interface 1434 192.168.1.28 1433 netmask 255.255.255.255
static (InterfaceInside,InterfaceOutside) tcp interface 1433 192.168.1.27 1433 netmask 255.255.255.255
static (InterfaceInside,InterfaceOutside) tcp pubblico.33 ftp 192.168.1.45 ftp netmask 255.255.255.255
static (InterfaceInside,InterfaceOutside) tcp interface ftp 192.168.1.77 ftp netmask 255.255.255.255
static (InterfaceInside,InterfaceOutside) tcp pubblico.33 ftp-data 192.168.1.45 ftp-data netmask 255.255.255.255
static (InterfaceInside,InterfaceOutside) tcp interface www 192.168.1.77 www netmask 255.255.255.255
static (InterfaceInside,InterfaceOutside) tcp interface ftp-data 192.168.1.77 ftp-data netmask 255.255.255.255
static (InterfaceInside,InterfaceOutside) tcp pubblico.33 www 192.168.1.45 www netmask 255.255.255.255
static (InterfaceInside,InterfaceOutside) tcp pubblico.33 1433 192.168.1.45 1433 netmask 255.255.255.255
static (InterfaceInside,InterfaceOutside) tcp pubblico.33 3389 192.168.1.45 3389 netmask 255.255.255.255
static (landue,InterfaceOutside) pubblico.35 10.10.1.2 netmask 255.255.255.255
static (landue,InterfaceOutside) pubblico.36 10.10.1.3 netmask 255.255.255.255
static (InterfaceInside,InterfaceOutside) pubblico.34 192.168.1.29 netmask 255.255.255.255
static (InterfaceInside,InterfaceOutside) pubblico.37 192.168.1.37 netmask 255.255.255.255
static (InterfaceInside,InterfaceOutside) pubblico.38 192.168.1.38 netmask 255.255.255.255
static (InterfaceInside,InterfaceOutside) pubblico.41 192.168.1.44 netmask 255.255.255.255
static (InterfaceInside,InterfaceOutside) pubblico.42 192.168.1.40 netmask 255.255.255.255
static (InterfaceInside,InterfaceOutside) pubblico.39 192.168.1.50 netmask 255.255.255.255


leggendo sul sito cicso ho pensato che sia dovuto dal fatto che utilizzo global (InterfaceOutside) 1 interface

dovrei definire questo parametro con l'ip singolo con cui natto e il relativo nat nat (InterfaceInside) 1 192.168.1.xx 255.255.255.255

voi che dite?

[hashashin]

allora,

se la macchina che ha il problema è una di quelle coinvolte in un nat statico con port forwarding allora si spiega perchè, il fatto è che il nat statico viene utilizzato solo per la porta specificata (che nel tuo caso sono le porte www o ftp o 1433 o ftp-data ecc... ecc..), quindi SOLO per queste porte.
per tutte le altre porte viene utilizzata la regola di nat + global.

per risolvere il problema secondo me potresti creare una associazione nat + global con gli indirizzi che ti servono, quindi:

nat (InterfaceInside) 2 192.168.1.xx

global (InterfaceOutside) 2 <ip pubblico>

facci sapere!!!

ciaooo

[spidermanz]

infatti è quello che avevo pensato, cmq riguarta anche i nat uno a uno e non solo i pat.

grazze per il suggerimento.

lo proverò quanto prima