Re: [Cug] Problema strano con PIX

Thu, 01 Apr 2010 05:52:31 -0700 

Normando Marcolongo ha scritto:

Ciao!

Ho un problema strano di NAT con un PIX ASA5510. Qualche dettaglio:
- classiche 2 interfacce
- una direttiva 'global (outside)' con un IP X non dell'interfaccia esterna ma, ovviamente, "dentro" la subnet in cui sta l'outside 
- una direttiva 'nat (inside)' per fare uscire tutta la subnet inside.
- diverse direttive static (inside,out-fw) IP.PUBBLICOY IP.PRIVATO per il traffico entrante - le regole nella forma delle "nuove" access-list che permettono il traffico entrante (e' una ACL applicata in 'in' all'interfaccia outside) 
- # sh ver

Cisco Adaptive Security Appliance Software Version 7.0(8)
Device Manager Version 5.0(8)

Problema:
- tutto funziona alla meraviglia: gli host della rete interna navigano tranquillamente con l'IP X pubblico e i server nattati dalle static escono con i rispettivi IP assegnati (es. IP.PUBBLICOY) - ogni tanto NON funziona piu' un NAT e il traffico entrante non entra piu'. Il tutto si risolve generando traffico verso internet dall'IP privato destinatario del NAT non funzionante
Cose fatte a naso (praticamente non ho studiato mai niente dei PIX :-) ) e non capite: 
- ma il proxy-arp degli IP.PUBBLICI oggetto di una static e' automagico?
- non e' necessario aggiungere direttive static per il nat al contrario? Cioe' tipo static (out-fw, inside) IP.PRIVATO IP.PUBBLICOY? 
- perche' ha funzionato bene per anni?

Per ulteriori dettagli sono qui, ovviamente ;-)

Grazie!
Normando


Uhmm...
Un po' vaga come descrizione.
Manda uno stralcio di conf (mascherando i dati sensibili ovviamente...).
In ogni caso ti consiglio di aggiornare l'ASA alla versione almeno 8.0(4)

Ciao.

------------------------------------------------------------------------

_______________________________________________
http://www.areanetworking.it
http://www.areanetworking.it/blog
[email protected]
http://ml.areanetworking.it/mailman/listinfo/cug



--
Caselle da 1GB, trasmetti allegati fino a 3GB e in piu' IMAP, POP3 e SMTP 
autenticato? GRATIS solo con Email.it http://www.email.it/f

Sponsor:
Apri subito Conto Arancio e ricevi 50 Euro di buoni acquisti da spendere presso 
Media World!
Clicca qui: http://adv.email.it/cgi-bin/foclick.cgi?mid=10037&d=1-4

_______________________________________________
http://www.areanetworking.it
http://www.areanetworking.it/blog
[email protected]
http://ml.areanetworking.it/mailman/listinfo/cug

Reply via email to