PIX 506E e comunicazione da esterno ad interno

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
gnazino
n00b
Messaggi: 6
Iscritto il: mar 12 feb , 2008 9:31 pm

Salve a tutti, ho un problema con la configurazioen di un PIX 506E.
So benissimo che sarebbero da evitare le comunicazioni dall'esterno verso l'interno, ma ho bisogno di fare comunicare un host che si trova sulla rete esterna del firewall (192.168.1.23) con un host che si trova nella rete interna al firewall (192.168.100.59) con la chiamata che parte da quello esterno.

Ho creato sul file di cofigurazione le seguenti righe :
access-list outside_access_in tcp host 192.168.1.23 host 192.168.100.59 eq 1583
access-group outside_access_in in interface outside
ma non funziona.
Cosa sbaglio?

Grazie
Ignazio
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Manca la regola di nat...

static (inside,outside) ...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
gnazino
n00b
Messaggi: 6
Iscritto il: mar 12 feb , 2008 9:31 pm

Ma la regola dovrebbe essere del tipo :
static (inside,outside) 192.168.100.59 192.168.1.23 netmask 255.255.255.255

oppure
static (inside,outside) 192.168.100.59 192.168.1.50 netmask 255.255.255.255

dove 192.168.1.50 è un indirizzo fittizio sul quale indirizzare le chiamate che l'host 192.168.1.23 vuole dirigere a 192.168.100.59 ?
Scusate per la terminologia impropria.
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Che IP interno reale ha la macchina?
Con quale ip vuoi farla vedere sulla outside?

Codice: Seleziona tutto

static (inside,outside) ip_nat ip_reale netmask 255.255.255.255
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
gnazino
n00b
Messaggi: 6
Iscritto il: mar 12 feb , 2008 9:31 pm

La macchina interna ha un ip reale 192.168.100.59.
l'ip nattato attraverso cui farla vedere dall'esterno è 192.168.1.50.
Ho creato le righe di codice di cui abbiamo parlato ma immediatamente mi sono accorto che l'host 192.168.100.59 non riusciva più a collegarsi ad internet. Ho quindi rimosso le righe appena creata e verificato l'eliminazione sul file di configurazione, ma il pc continua a non collegarsi.

Qualcuno ha un'idea di cosa sia successo ?

Grazie
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

In maniera, 192.168.1.50 è un ip privato, come fa ad andare in internet?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
gnazino
n00b
Messaggi: 6
Iscritto il: mar 12 feb , 2008 9:31 pm

Credo di avere scoperto il problema.
E' vero che l'indirizzo 192.168.1.50 è privato, ma sta sulla rete fastweb.
Quindi il problema è che fastweb limita gli indirizzi che possono andare su internet (ossia ne natta solo una parte).
Domani verificherò.
Comunque grazie per l'aiuto.
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Quindi il problema è che fastweb limita gli indirizzi che possono andare su internet (ossia ne natta solo una parte).
Si è proprio così!
Vai di PAT
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
Rispondi

Torna a “Configurazioni”