Il 29/09/2011 22:54, Giulio Lo Presti ha scritto:
p.s. se abilito icmp trace sul pix vedo arrivare sul log echo ma non echo reply
Grazie
Giulio
Piuttosto, oltre a vedere che entrano, ti servirebbe sapere se i
pacchetti echo-request escono dall'interfaccia DMZ.
Lo puoi fare attivando un capture tipo:
access-list CAPTURE extended permit icmp host 192.168.50.90 host 172.30.1.1
access-list CAPTURE extended permit icmp host 172.30.1.1 host 192.168.50.90
!
capture CAPT type raw-data access-list CAPTURE interface
"NOME-DELL-INTERFACCIA"
Fai traffico e lo guardi con "show capt CAPT"
Se vedi pacchetti "diretti" al router, allora il firewall ha fatto il
suo ed il problema è un altro (ma ne dubito).
Inoltre, credo che il permit intra-interface sia necessario in quanto di
norma PIX/ASA non lasciano entrare ed uscire lo stesso traffico dalla
medesima interfaccia.
Altra cosa da verificare è il NAT, al quale si applica lo stesso
discorso del permit intra-interface.
Le macchine che sono nella inside raggiungono il router perchè seguono
un iter corretto, la "anomalia" è che il 192.168.50.90 abbia come defgw
il PIX.
Secondo me ti conviene far fare da gw al primo router nella DMZ in
quanto se deve far entrare/uscire un pacchetto da una stessa
interfaccia, non fa altro che fare il suo lavoro.
Il firewall sotto questo punto di vista (ed a ragione) è un po'
"schizzinoso" ;O)
Ciao.
--
Caselle da 1GB, trasmetti allegati fino a 3GB e in piu' IMAP, POP3 e SMTP
autenticato? GRATIS solo con Email.it http://www.email.it/f
Sponsor:
Prova il servizio di Email Marketing di Email.it, incrementi la visibilita'
della tua azienda e trovi nuovi clienti
Clicca qui: http://adv.email.it/cgi-bin/foclick.cgi?mid=11847&d=30-9
_______________________________________
Articoli CISCO: http://www.areanetworking.it/category/cisco
Cug mailing list
[email protected]
http://lists.ml.areanetworking.it/cgi-bin/mailman/listinfo/cug
Servizio ML offerto da Ehiweb.it - http://www.ehiweb.it/
