Buongiorno,
Spero di non star facendo una domanda eccessivamente banale, ma avrei bisogno di essere "imboccato" per quanto riguarda un problema per il quale non riesco a trovare la strada giusta per arrivare alla soluzione.
Ho a disposizione un ASA 5505, configurato con tre "segmenti" di rete (outside, inside, dmz).
In outside c'e' solo un router 877 collegato ad ADSL.
In inside (10.10.10.129/29) ci sono, fra gli altri, un server web OpenBSD (10.10.10.131) che richiede manutenzione ed un server VPN Linux (10.10.10.130) sul quale ho installato anche un piccolo server http che serva una pagina del tipo "servizio momentaneamente non disponibile, riprovare piu' tardi".
Quello che voglio fare e' configurare l'ASA in modo che rediriga tutto il traffico proveniente da internet (outside) e diretto verso 10.10.10.131, verso 10.10.10.130, in modo che io possa fare manutenzione al server OpenBSD, senza che nel frattempo vi siano accessi ad esso.
Ho cercato qualcosa (google e ricerca interna del forum) su "nat" e "redirect", ma, a quanto ho potuto leggere, non si tratta delle parole giuste.
Qualcuno sarebbe cosi' gentile da indirizzarmi verso la soluzione?
Grazie mille,
Andrea
ASA e redirect su host della stessa rete
Moderatore: Federico.Lagni
-
cowee
- n00b
- Messaggi: 6
- Iscritto il: mar 13 ott , 2009 8:54 am
- Località: Udine
- Contatta:
-
marco.giuliani
- Cisco fan
- Messaggi: 42
- Iscritto il: mar 06 ott , 2009 8:40 am
- Località: Roma
Se ho ben capito tu vuoi che il firewall ASA redirezioni le tue richieste ad un server web alternativo che permette agli utenti di visualizzare un messaggio mentre stai effettuando la manutenzione del server web principale.
Normalmente il web server 10.10.10.131 è raggiungibile grazie ad una regola di nat statico come la seguente, presupponendo che l'ip pubblico del server è 1.2.3.4
static (inside, outside) tcp 1.2.3.4 www 10.10.10.131 www
basta che sostituisci questa regola con una differente mentre fai manutenzione
static (inside, outside) tcp 1.2.3.4 www 10.10.10.130 www
ciao....
Normalmente il web server 10.10.10.131 è raggiungibile grazie ad una regola di nat statico come la seguente, presupponendo che l'ip pubblico del server è 1.2.3.4
static (inside, outside) tcp 1.2.3.4 www 10.10.10.131 www
basta che sostituisci questa regola con una differente mentre fai manutenzione
static (inside, outside) tcp 1.2.3.4 www 10.10.10.130 www
ciao....
-
cowee
- n00b
- Messaggi: 6
- Iscritto il: mar 13 ott , 2009 8:54 am
- Località: Udine
- Contatta:
Accidenti, ho dimenticato un particolare piuttosto importante!
Dobbiamo supporre che 10.10.10.130 e 10.10.10.131 siano effettivamente gli IP fissi (e pubblici) dei due server e che l'ASA abbia semplicemente configurate due ACL del tipo:
Grazie per la risposta, se ti va di provare ad aiutarmi ancora...
Andrea
Dobbiamo supporre che 10.10.10.130 e 10.10.10.131 siano effettivamente gli IP fissi (e pubblici) dei due server e che l'ASA abbia semplicemente configurate due ACL del tipo:
Codice: Seleziona tutto
access-list out_to_dmz extended permit tcp any host 10.10.10.130 eq www
access-list out_to_dmz extended permit tcp any host 10.10.10.131 eq www
Grazie per la risposta, se ti va di provare ad aiutarmi ancora...
Andrea
-
marco.giuliani
- Cisco fan
- Messaggi: 42
- Iscritto il: mar 06 ott , 2009 8:40 am
- Località: Roma
Porca miseria. 
Non ho ancora ben capito la situazione...allora....ti devo fare qualche domanda...
Internet ---- Cisco 877 ---+outside ASA5505 (+inside +dmz)
Il NAT è sul cisco 877, l'ASA non fa NAT ma fa routing tra le vlan outside, inside e dmz?
I server in che zona stanno?
Dal nome della access-list che hai incollato sembra che stiano in DMZ.
Quindi ti trovi con le seguenti quattro subnet?
subnet pubblica (o singolo IP fornito dal provider)
subnet tra 877 e outside 5505
subnet dmz
subnet inside.
ciao
Non ho ancora ben capito la situazione...allora....ti devo fare qualche domanda... Internet ---- Cisco 877 ---+outside ASA5505 (+inside +dmz)
Il NAT è sul cisco 877, l'ASA non fa NAT ma fa routing tra le vlan outside, inside e dmz?
I server in che zona stanno?
Dal nome della access-list che hai incollato sembra che stiano in DMZ.
Quindi ti trovi con le seguenti quattro subnet?
subnet pubblica (o singolo IP fornito dal provider)
subnet tra 877 e outside 5505
subnet dmz
subnet inside.
ciao
-
cowee
- n00b
- Messaggi: 6
- Iscritto il: mar 13 ott , 2009 8:54 am
- Località: Udine
- Contatta:
tutto corretto. Hai capito benissimo.
l'877 ha un IP pubblico fornito dal provider ed un IP interno su una subnet a cui e' collegato da solo con l'ASA.
Questa piccola rete (una /29) e', dal punto di vista dell'ASA, la outside.
in inside ci stanno le macchine interne dell'ufficio.
in DMZ, con ip pubblici su internet (che in questo momento chiamiamo 10.10.10.128/29) stanno i server.
L'ASA non fa alcun genere di NAT.
L'877 fa NET verso internet solo per il traffico proveniente da inside.
Per fare la cosa ho provato con:
Ma la connessione va in timeout.
La cosa strana e' che se faccio la medesima cosa non da outside, ma da inside, tutto funziona a dovere:
Quindi, visti i livelli di sicurezza (outside=0, dmz=50, inside=100) immagino che il problema stia nel fatto che l'ASA, quando deve applicare la static, se le connessioni vengono da outside, blocca qualcosa, se invece le richieste provengono da inside, quel qualcosa lo lacia passare per politica di default.
Se e' cosi', il problema diventa capire che cosa sia cio' che viene bloccato: le ACL ci sonoper porta www verso entrambi i server da outside ed una connessione da fuori diretta verso 10.10.10.130 funziona.
Ultima nota: 10.10.10.130 e 10.10.10.131 hanno firewall a livello di sistema operativo ed entrambi permettono connessioni da qualunque indirizzo verso la propria porta 80.
Grazie per l'aiuto.
Andrea
l'877 ha un IP pubblico fornito dal provider ed un IP interno su una subnet a cui e' collegato da solo con l'ASA.
Questa piccola rete (una /29) e', dal punto di vista dell'ASA, la outside.
in inside ci stanno le macchine interne dell'ufficio.
in DMZ, con ip pubblici su internet (che in questo momento chiamiamo 10.10.10.128/29) stanno i server.
L'ASA non fa alcun genere di NAT.
L'877 fa NET verso internet solo per il traffico proveniente da inside.
Per fare la cosa ho provato con:
Codice: Seleziona tutto
static (dmz,outside) tcp 10.10.10.131 http 10.10.10.130 http netmask 255.255.255.255 dns
La cosa strana e' che se faccio la medesima cosa non da outside, ma da inside, tutto funziona a dovere:
Codice: Seleziona tutto
static (dmz,inside) tcp 10.10.10.131 http 10.10.10.130 http netmask 255.255.255.255 dns
Se e' cosi', il problema diventa capire che cosa sia cio' che viene bloccato: le ACL ci sonoper porta www verso entrambi i server da outside ed una connessione da fuori diretta verso 10.10.10.130 funziona.
Ultima nota: 10.10.10.130 e 10.10.10.131 hanno firewall a livello di sistema operativo ed entrambi permettono connessioni da qualunque indirizzo verso la propria porta 80.
Grazie per l'aiuto.
Andrea
-
marco.giuliani
- Cisco fan
- Messaggi: 42
- Iscritto il: mar 06 ott , 2009 8:40 am
- Località: Roma
Puoi postare la configurazione dell'asa 5505?
-
cowee
- n00b
- Messaggi: 6
- Iscritto il: mar 13 ott , 2009 8:54 am
- Località: Udine
- Contatta:
Ciao, scusami se ci ho messo tanto a rispondere, ma ho avuto molti impegni negli ultimi giorni.
Per preparare la risposta ho reinserito la regola:
ed ora funziona a dovere.
Il timeout che ricevevo prima potrebbe essere stato dato da un errore di battiura... non saprei.
Grazie comunque della disponibilità.
Andrea
Per preparare la risposta ho reinserito la regola:
Codice: Seleziona tutto
static (dmz,outside) tcp 10.10.10.131 http 10.10.10.130 http netmask 255.255.255.255 dns
Il timeout che ricevevo prima potrebbe essere stato dato da un errore di battiura... non saprei.
Grazie comunque della disponibilità.
Andrea
-
marco.giuliani
- Cisco fan
- Messaggi: 42
- Iscritto il: mar 06 ott , 2009 8:40 am
- Località: Roma
Sono contento!ed ora funziona a dovere.
ciao!
