ARGOMENTO:

Salve a tutti, vorrei chiarimenti su questo esempio.




La connettività tra i router è implementata tramite semplici default route verso l'ASA. Inizialmente si permettono tutti i ping (request e reply) non solo da R1,R2 verso R3, ma anche da R3 verso R1,R2. Su ASA1 ho scritto:

access-list OUT-in permit icmp any any echo
access-list OUT-in permit icmp any any echo-reply
access-group OUT-in in interface outside

A questo punto, è stata inserita in ingresso a R3 la seguente access-list:

ip access-list extended deny10
deny icmp 10.0.0.0 0.0.0.255 any echo
permit ip any any

Lo scopo è quello di impedire a R1,R2 di pingare R3, ma consentire il contrario. Fin qui funziona tutto come richiesto.

Si vuole ora implementare su ASA1 un policy dynamic NAT che permetta a R1,R2 di aggirare la restrizione su R3. Per prima cosa, ho definito su ASA1 il pool come segue (versione 8.0):

global (outside) 1 200.0.0.200-200.0.0.254 netmask 255.255.255.0

Definiamo l'access-list seguente:

access-list PING10 permit icmp 10.0.0.0 255.255.255.0 any echo

Poi, per il policy NAT ho scritto:

nat (inside) 1 access-list PING10

Lo scopo sarebbe quello di permettere a R1,R2 di pingare R3.

Purtroppo questa configurazione non produce la traduzione degli IP di R1,R2 e il ping verso R3 non funziona. Cambiando il comando NAT in un comando di dynamic NAT semplice, la traduzione viene effettuata:

nat (inside) 1 10.0.0.0 255.255.255.0

Il problema è che vorrei il NAT solo in caso di icmp echo da R1,R2 verso la subnet di R3.

A parte questo, vorrei anche chiarire il seguente dubbio. E' noto e pacifico che, in caso di Dynamic NAT, l'host nattato non è più direttamente raggiungibile dall'esterno e, inoltre, la traduzione dell'IP avviene per tutto il traffico. In caso di Policy Dynamic NAT, ad esempio, è possibile nattare un host solo se va in HTTP verso l'esterno. A questo punto, visto che la traduzione avviene solo per l'HTTP, è possibile pingare l'host interno dall'esterno usando il suo IP reale?

Una soluzione più accettabile è modificare l'access-list PING10 come segue:

access-list PING10 permit icmp 10.0.0.0 255.255.255.0 any

In questo modo funziona. Evidentemente, non è possibile far sì che R1,R2 mandino echo-ping a R3 con indirizzo nattato e, invece, usare il loro IP reale quando è R3 a iniziare i ping verso R1,R2.

Ciao,
secondo me dovrebbe funzionare comunque, ma ti chiedo su quale versione stai lavorando, perchè il nat che hai presentato è valido per 8.2 mentre per 8.4 e 8.6 ci sono tecniche differenti tramite object network e twice nat, molto più potenti e per certi aspetti più agevoli.

Qualche considerazione, se sei su 8.2 hai attivato nat-control? Se si ricorda che tutto il traffico che non può essere nattato verrà scartato, potrai però configurare identity nat (reogole NAT 0) per risolvere il problema.

Il dynamic nat è unidirezionale, se vuoi un nat bidirezionale devi configurare una regola statica con static (inside,Outside) ....

Facendo "show version" l'IOS risulta 8.0(2). Non so se devo interpretarlo come 8.2 o 8.0.2. In ogni caso mi sembra di aver capito che la sintassi che ho usato vale per le versioni inferiori a 8.3 (che dovrebbe usare la stessa sintassi della versione 8.4).
Il nat-control non l'ho abilitato (mi sembra che di default sia disabilitato), comunque ho capito il discorso dell'identity nat, compreso il fatto che usa la regola 0 (infatti per le regole non predefinite si parte da 1). Comunque con i lab della security sul NAT non ci sono problemi, questo era solo un esercizietto che ho voluto fare per fissare i concetti. So che può sembrare comodo dirlo, ma potrebbe essere anche un qualcosa dovuto a GNS3 o al carico RAM/CPU, considerando che le verifiche richiedono qualche debug attivo. Appena terminati i lab della sezione 5 ti ragguaglierò sui problemi riscontrati per i vari argomenti, specificando se sono problemi di comprensione della teoria o problemi che, a mio avviso, sono dovuti a come performa GNS3 sul mio PC.

Ciao,
la tua versione è una 8.0, dovresti cercare di lavorare con la 8.4 perchè cambiano sensibilmente le logiche di nat.

Per il nat-control è fondamentale che tu lo abiliti altrimenti la sintassi utilizzata ha effetto solo in parte.
Fammi sapere se ti serve supporto.