Il 18/03/08, Stefano Madrucciani<[EMAIL PROTECTED]> ha scritto: > > > > -----Messaggio originale----- > > Da: [EMAIL PROTECTED] [mailto:cug- > > [EMAIL PROTECTED] Per conto di Stefano Saracino > > Inviato: lunedì 17 marzo 2008 17.04 > > A: AreaNetworking Cisco Users Group > > Oggetto: Re: [Cug] R: Inside to DMZ....nat?? > > > > 2008/3/17, Stefano Madrucciani <[EMAIL PROTECTED]>: > > > > > > > > > > -----Messaggio originale----- > > > > Da: Stefano Madrucciani [mailto:[EMAIL PROTECTED] > > > > Inviato: lunedì 17 marzo 2008 14.23 > > > > A: CUG ([email protected]) > > > > Oggetto: Inside to DMZ....nat?? > > > > > > > > Salve a tutti, > > > > volevo porvi una domanda di tipo "concettuale": perchè per > > permettere > > > > il traffico da una rete "inside" a una "DMZ" devo per forza > > utilizzare > > > > un nat del tipo > > > > > > > > static (inside,DMZ) <IP_RETE> <IP_RETE> 255.255.255.0 ? > > > > > > > > Il PIX non dovrebbe permettere nativamente il traffico tra una > > > > interfaccia con security level più alto (INSIDE=100) a una con uno > > più > > > > basso (DMZ=50)? > > > > > > > > Grazie a tutti > > > > Stefano Madrucciani > > > > > > > > > Scusate mi rispondo da solo...ho trovato la spiegazione Cisco: "But > > when a > > > host on one PIX Firewall interface initiates a connection to a host > > on > > > another interface, the PIX must have a way to translate that host's > > IP > > > address across itself." > > > > Scusami se intervengo solo ora. > > La spiegazione che da Cisco e che riporti tu non è completa o > > esaustiva. Provo a dire la mia. > > Su un Pix, dotato di Finesse 7.x, non si è obbligati a NATtare!!! > > Se non si esprime MAI nella sua configurazione nessun comando di nat, > > static o global, si può far uscire il traffico outbound senza alcuna > > traduzione di indirizzi. Ma se solo dovesse scappare anche una sola > > riga contenente una di queste parole, allora la frittata è fatta e si > > sarà costretti ad esplicitare sempre il comando di NAT. > > Non solo: si vedrà esplicitato nel file di configurazione il comando > > "nat- control enable". Disabilitando tale comando non si avranno > > problemi col nat. > > Oppure si potrà procedere con l'identity NAT, cioè "NAT 0", che taglia > > la testa al toro in tante situazioni, perché permette di skippare la > > feature del NAT (ma non l'ASA - Adaptive Security Algorithm). > > > > -- > > Grazie per la puntualizzazione! > Mi permetto di trarre una mia conclusione: dato che nattare le reti "inside" > in overload con un unico ip (molto spesso quello dell'interfaccia outside) è > una pratica (quasi) comune, allora la storia del "dover nattara il traffico > in ogni direzione" diventa (quasi) obbligatoria! > > Saluti > Stefano Madrucciani > > _______________________________________________ > Cug mailing list > http://www.areanetworking.it/index_docs.php > [email protected] > http://ml.areanetworking.it/mailman/listinfo/cug > Colgo anch' io l' occasione per esprimere il mio pensiero. A io avviso Cisco, quando acquisto' la ditta che produceva i pix, si e' un po' troppo crogiolata nel fatto che all' epoca erano pochi i produttori di fw. Il dover sempre nattare a mio avviso "era una gran strunzata". Il fatto e' che se ne sono accorti un po' tardino (versione 7.x quando hanno riscritto buona parte del codice Finesse) La filosofia avrebbe dovuto essere gia' dalla versione 6.x: natto quando mi serve e non sempre.
Alessandro _______________________________________________ Cug mailing list http://www.areanetworking.it/index_docs.php [email protected] http://ml.areanetworking.it/mailman/listinfo/cug
