Benvenuto,
Ospite
|
ARGOMENTO:
Moderatori: jpalombi
Benvenuto,
Ospite
|
|
Salve a tutti, vorrei chiarimenti su questo esempio.
La connettività tra i router è implementata tramite semplici default route verso l'ASA. Inizialmente si permettono tutti i ping (request e reply) non solo da R1,R2 verso R3, ma anche da R3 verso R1,R2. Su ASA1 ho scritto: access-list OUT-in permit icmp any any echo access-list OUT-in permit icmp any any echo-reply access-group OUT-in in interface outside A questo punto, è stata inserita in ingresso a R3 la seguente access-list: ip access-list extended deny10 deny icmp 10.0.0.0 0.0.0.255 any echo permit ip any any Lo scopo è quello di impedire a R1,R2 di pingare R3, ma consentire il contrario. Fin qui funziona tutto come richiesto. Si vuole ora implementare su ASA1 un policy dynamic NAT che permetta a R1,R2 di aggirare la restrizione su R3. Per prima cosa, ho definito su ASA1 il pool come segue (versione 8.0): global (outside) 1 200.0.0.200-200.0.0.254 netmask 255.255.255.0 Definiamo l'access-list seguente: access-list PING10 permit icmp 10.0.0.0 255.255.255.0 any echo Poi, per il policy NAT ho scritto: nat (inside) 1 access-list PING10 Lo scopo sarebbe quello di permettere a R1,R2 di pingare R3. Purtroppo questa configurazione non produce la traduzione degli IP di R1,R2 e il ping verso R3 non funziona. Cambiando il comando NAT in un comando di dynamic NAT semplice, la traduzione viene effettuata: nat (inside) 1 10.0.0.0 255.255.255.0 Il problema è che vorrei il NAT solo in caso di icmp echo da R1,R2 verso la subnet di R3. A parte questo, vorrei anche chiarire il seguente dubbio. E' noto e pacifico che, in caso di Dynamic NAT, l'host nattato non è più direttamente raggiungibile dall'esterno e, inoltre, la traduzione dell'IP avviene per tutto il traffico. In caso di Policy Dynamic NAT, ad esempio, è possibile nattare un host solo se va in HTTP verso l'esterno. A questo punto, visto che la traduzione avviene solo per l'HTTP, è possibile pingare l'host interno dall'esterno usando il suo IP reale? |
Si prega Accedi a partecipare alla conversazione.
Ultima Modifica: da SergioDiM.
|
|
Una soluzione più accettabile è modificare l'access-list PING10 come segue:
access-list PING10 permit icmp 10.0.0.0 255.255.255.0 any In questo modo funziona. Evidentemente, non è possibile far sì che R1,R2 mandino echo-ping a R3 con indirizzo nattato e, invece, usare il loro IP reale quando è R3 a iniziare i ping verso R1,R2. |
Si prega Accedi a partecipare alla conversazione. |
|
Ciao,
secondo me dovrebbe funzionare comunque, ma ti chiedo su quale versione stai lavorando, perchè il nat che hai presentato è valido per 8.2 mentre per 8.4 e 8.6 ci sono tecniche differenti tramite object network e twice nat, molto più potenti e per certi aspetti più agevoli. Qualche considerazione, se sei su 8.2 hai attivato nat-control? Se si ricorda che tutto il traffico che non può essere nattato verrà scartato, potrai però configurare identity nat (reogole NAT 0) per risolvere il problema. Il dynamic nat è unidirezionale, se vuoi un nat bidirezionale devi configurare una regola statica con static (inside,Outside) .... |
Si prega Accedi a partecipare alla conversazione. |
|
Facendo "show version" l'IOS risulta 8.0(2). Non so se devo interpretarlo come 8.2 o 8.0.2. In ogni caso mi sembra di aver capito che la sintassi che ho usato vale per le versioni inferiori a 8.3 (che dovrebbe usare la stessa sintassi della versione 8.4).
Il nat-control non l'ho abilitato (mi sembra che di default sia disabilitato), comunque ho capito il discorso dell'identity nat, compreso il fatto che usa la regola 0 (infatti per le regole non predefinite si parte da 1). Comunque con i lab della security sul NAT non ci sono problemi, questo era solo un esercizietto che ho voluto fare per fissare i concetti. So che può sembrare comodo dirlo, ma potrebbe essere anche un qualcosa dovuto a GNS3 o al carico RAM/CPU, considerando che le verifiche richiedono qualche debug attivo. Appena terminati i lab della sezione 5 ti ragguaglierò sui problemi riscontrati per i vari argomenti, specificando se sono problemi di comprensione della teoria o problemi che, a mio avviso, sono dovuti a come performa GNS3 sul mio PC. |
Si prega Accedi a partecipare alla conversazione. |
|
Ciao,
la tua versione è una 8.0, dovresti cercare di lavorare con la 8.4 perchè cambiano sensibilmente le logiche di nat. Per il nat-control è fondamentale che tu lo abiliti altrimenti la sintassi utilizzata ha effetto solo in parte. Fammi sapere se ti serve supporto. |
Si prega Accedi a partecipare alla conversazione. |