2008/3/17, Stefano Madrucciani <[EMAIL PROTECTED]>: > > > > -----Messaggio originale----- > > Da: Stefano Madrucciani [mailto:[EMAIL PROTECTED] > > Inviato: lunedì 17 marzo 2008 14.23 > > A: CUG ([email protected]) > > Oggetto: Inside to DMZ....nat?? > > > > Salve a tutti, > > volevo porvi una domanda di tipo "concettuale": perchè per permettere > > il traffico da una rete "inside" a una "DMZ" devo per forza utilizzare > > un nat del tipo > > > > static (inside,DMZ) <IP_RETE> <IP_RETE> 255.255.255.0 ? > > > > Il PIX non dovrebbe permettere nativamente il traffico tra una > > interfaccia con security level più alto (INSIDE=100) a una con uno più > > basso (DMZ=50)? > > > > Grazie a tutti > > Stefano Madrucciani > > > Scusate mi rispondo da solo...ho trovato la spiegazione Cisco: "But when a > host on one PIX Firewall interface initiates a connection to a host on > another interface, the PIX must have a way to translate that host's IP > address across itself."
Scusami se intervengo solo ora. La spiegazione che da Cisco e che riporti tu non è completa o esaustiva. Provo a dire la mia. Su un Pix, dotato di Finesse 7.x, non si è obbligati a NATtare!!! Se non si esprime MAI nella sua configurazione nessun comando di nat, static o global, si può far uscire il traffico outbound senza alcuna traduzione di indirizzi. Ma se solo dovesse scappare anche una sola riga contenente una di queste parole, allora la frittata è fatta e si sarà costretti ad esplicitare sempre il comando di NAT. Non solo: si vedrà esplicitato nel file di configurazione il comando "nat- control enable". Disabilitando tale comando non si avranno problemi col nat. Oppure si potrà procedere con l'identity NAT, cioè "NAT 0", che taglia la testa al toro in tante situazioni, perché permette di skippare la feature del NAT (ma non l'ASA - Adaptive Security Algorithm). -- Stefano Saracino Network Consultant Cisco Certified Academy Instructor Cisco Information and IOS Security, Firewall & IPS Specialist Linkedin profile http://www.linkedin.com/in/stefanosaracino - -- HTML email cuold be dangerous, is not always readable, wastes bandwidth and is simply not necessary... Please don't send it to me! - -- 01101000 01100101 01101100 01110000 _______________________________________________ Cug mailing list http://www.areanetworking.it/index_docs.php [email protected] http://ml.areanetworking.it/mailman/listinfo/cug
