> -----Messaggio originale----- > Da: [EMAIL PROTECTED] [mailto:cug- > [EMAIL PROTECTED] Per conto di Stefano Saracino > Inviato: lunedì 17 marzo 2008 17.04 > A: AreaNetworking Cisco Users Group > Oggetto: Re: [Cug] R: Inside to DMZ....nat?? > > 2008/3/17, Stefano Madrucciani <[EMAIL PROTECTED]>: > > > > > > > -----Messaggio originale----- > > > Da: Stefano Madrucciani [mailto:[EMAIL PROTECTED] > > > Inviato: lunedì 17 marzo 2008 14.23 > > > A: CUG ([email protected]) > > > Oggetto: Inside to DMZ....nat?? > > > > > > Salve a tutti, > > > volevo porvi una domanda di tipo "concettuale": perchè per > permettere > > > il traffico da una rete "inside" a una "DMZ" devo per forza > utilizzare > > > un nat del tipo > > > > > > static (inside,DMZ) <IP_RETE> <IP_RETE> 255.255.255.0 ? > > > > > > Il PIX non dovrebbe permettere nativamente il traffico tra una > > > interfaccia con security level più alto (INSIDE=100) a una con uno > più > > > basso (DMZ=50)? > > > > > > Grazie a tutti > > > Stefano Madrucciani > > > > > > Scusate mi rispondo da solo...ho trovato la spiegazione Cisco: "But > when a > > host on one PIX Firewall interface initiates a connection to a host > on > > another interface, the PIX must have a way to translate that host's > IP > > address across itself." > > Scusami se intervengo solo ora. > La spiegazione che da Cisco e che riporti tu non è completa o > esaustiva. Provo a dire la mia. > Su un Pix, dotato di Finesse 7.x, non si è obbligati a NATtare!!! > Se non si esprime MAI nella sua configurazione nessun comando di nat, > static o global, si può far uscire il traffico outbound senza alcuna > traduzione di indirizzi. Ma se solo dovesse scappare anche una sola > riga contenente una di queste parole, allora la frittata è fatta e si > sarà costretti ad esplicitare sempre il comando di NAT. > Non solo: si vedrà esplicitato nel file di configurazione il comando > "nat- control enable". Disabilitando tale comando non si avranno > problemi col nat. > Oppure si potrà procedere con l'identity NAT, cioè "NAT 0", che taglia > la testa al toro in tante situazioni, perché permette di skippare la > feature del NAT (ma non l'ASA - Adaptive Security Algorithm). > > --
Grazie per la puntualizzazione! Mi permetto di trarre una mia conclusione: dato che nattare le reti "inside" in overload con un unico ip (molto spesso quello dell'interfaccia outside) è una pratica (quasi) comune, allora la storia del "dover nattara il traffico in ogni direzione" diventa (quasi) obbligatoria! Saluti Stefano Madrucciani _______________________________________________ Cug mailing list http://www.areanetworking.it/index_docs.php [email protected] http://ml.areanetworking.it/mailman/listinfo/cug
