ARGOMENTO:

Salve ragazzi! Come ve la cavate con gli ASA? Io dovrei fare una piccola modifica "in corsa" ad un ASA in produzione che non può assolutamente fermarsi. Attualmente sono attive due sole interfacce, inside e outside, e tutti gli host della LAN inside vengono nattati verso l'esterno con l'indirizzo dell'interfaccia outside con queste regole:

Io dovrei semplicemente configurare una nuova interfaccia su una LAN diversa e nattarla su un IP pubblico diverso da quello assegnato all'interfaccia outside, quindi pensavo di fare qualcosa del genere:
Ho fatto qualche test su un firewall di prova su cui non c'era traffico, e gli host della nuova LAN venivano correttamente nattati sul nuovo IP, però non so dire con certezza se gli host della lan inside risentano in qualche modo della variazione di configurazione. Avete qualche idea?

Grazie

Ciao! La configurazione da te proposta è corretta, non dovresti avere alcun problema con le regole preesistenti a patto che l'indirizzo pubblico che stai utilizzando sia diverso dall'indirizzo di interfaccia che di fatto usi nella prima regola.

Grazie mille! Avevo fatto qualche prova e infatti si "arrabbiava" se usavo in pool di ip pubblici che includeva quello già configurato sull'interfaccia outside

Come regola generale non utilizzare mai l'indirizzo di interfaccia se è incluso già nel pool, inoltre non inserire mai nel pool di traduzione dinamico un indirizzo che hai utilizzato per un nat dinamico.

E' una buona linea guida per router, firewall, Cisco e non...

Forse questa riga va corretta:La netmask non dovrebbe essere 255.255.255.255 ma quella della subnet cui apartiene l'IP esterno. In realtà mi è sembrato che il firewall se ne fregasse abbastanza

gica78r ha scritto: La netmask non dovrebbe essere 255.255.255.255 ma quella della subnet cui apartiene l'IP esterno. In realtà mi è sembrato che il firewall se ne fregasse abbastanza

E' così, ma quella subnet ti interessa per funzionalità avanzate che ad esempio annunciano quella rete in un protocollo di routing. Quindi all'atto pratico non cambia nulla se non ne fai altro uso

Non so su quale versione stai lavorando, ma ad esempio sulla 8.2 sulla quale ho maggiore esperienza viene segnalato come parametro opzionale:

(Optional) Specifies the network mask for the mapped_ip. This mask does not specify a network when paired with the mapped_ip; rather, it specifies the subnet mask assigned to the mapped_ip when it is assigned to a host. If you want to configure a range of addresses, you need to specify mapped_ip-mapped_ip.
If you do not specify a mask, then the default mask for the address class is used.

qui il link della command reference www.cisco.com/en/US/docs/security/asa/as...ce/gh.html#wp1777108