ARGOMENTO:

Cisco ASA - Permettere traffico ICMP di ritorno 7 Anni 5 Mesi fa #1

amassotti
Autore della discussione
Offline
Elite Member
Messaggi: 93
Ringraziamenti ricevuti 41

Buongiorno. Una domanda sul comportamento degli ASA.

Se da un inside Host pingo un Outside Host, di base sto producendo traffico outbound da una zona con Secure Level più alto verso una zona con Secure Level più basso.

Quindi il traffico di ritorno da Outside verso Inside, poiché sollecitato, è autorizzato.

Non capisco perché, ripassando il NAT sugli ASA, si faccia riferimento ad una ACL che permetta il traffico ICMP di ritorno da OUTSIDE verso INSIDE:

"Figure 3 displays the configuration to allow return ICMP traffic from outside hosts."

Cosa mi sfugge? Si riferisce a traffico non sollecitato ma che ha origine da OUTSIDE verso INSIDE?
Oppure il concetto di Stateful e State Table non si applica al traffico ICMP?

Grazie

Si prega Accedi a partecipare alla conversazione.

Ultima Modifica: da amassotti.

Cisco ASA - Permettere traffico ICMP di ritorno 7 Anni 5 Mesi fa #2

matteopizzamiglio
Offline
Premium Member
Messaggi: 53
Ringraziamenti ricevuti 3

Il traffico può fluire da un'interfaccia con level security maggiore verso una interfaccia a level security minore..come ricordavi tu. In senso opposto non può fluire di default a meno che:
-Nell'interfaccia con level security minore non sia applicata una acl in ingresso(Che permette il traffico icmp nel nostro caso)
-Se non voglio applicare l'acl devo applicare inspection sull'interfaccia con level security maggiore.
Questo è quello che umilmente mi sembra di aver capito..

Ringraziano per il messaggio: jpalombi, amassotti

Si prega Accedi a partecipare alla conversazione.

Cisco ASA - Permettere traffico ICMP di ritorno 7 Anni 5 Mesi fa #3

amassotti
Autore della discussione
Offline
Elite Member
Messaggi: 93
Ringraziamenti ricevuti 41

Ciao Matteo. A me mi sembra di aver capito che ciò che tu dici è vero nel caso però in cui il traffico abbia origine da un'interfaccia con security level minore verso una con un security level maggiore ( Outside verso insidie).

Ma se Outside genera traffico di ritorno, è traffico sollecitato da Inside, ve ne è traccia nella State Table e quindi passa aldilà della presenza o meno di una ACL o di una policy map:

"The ASA default security policy permits outbound traffic, which is inspected, by default. Returning traffic is allowed due to stateful packet inspection. This default “routed mode” firewall behavior of the ASA allows packets to be routed from the inside network to the outside network, but not vice-versa."

Si prega Accedi a partecipare alla conversazione.

Cisco ASA - Permettere traffico ICMP di ritorno 7 Anni 5 Mesi fa #4

amassotti Autore della discussione Offline Elite Member Messaggi: 93 Ringraziamenti ricevuti 41	Ho capito Matteo,hai ragione. Mi sfuggiva il fatto che di default sull'interfaaccia inside non c'è "inspect icmp" nella "class-map inspection_default"
	Si prega Accedi a partecipare alla conversazione.

Cisco ASA - Permettere traffico ICMP di ritorno 7 Anni 5 Mesi fa #5

matteopizzamiglio Offline Premium Member Messaggi: 53 Ringraziamenti ricevuti 3	Si..esatto..mannaggia il default!
	Si prega Accedi a partecipare alla conversazione.