Ciao,
ho scoperto che nell'ASA si può consentire il transito di icmp sia tramite acl applicandole poi con la access-group che con la direttiva icmp ( scoperta di recente ).
Quale secondo voi è la best practice ?
Non trovate sia un pò illogico fornire più strade per consentire la stessa cosa ?
Best practice per PIX \ ASA IOS 7 - 8
Moderatore: Federico.Lagni
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Sn 2 cose diverse!
Con il comando "icmp ..." dichiari quali type sono accettati verso l'ip della interfaccia in questione.
Con il comando "access-l xxx permit icmp ... " dichiari quali type icmp possono attraversare la interfaccia e quindi il traffico va e viene dai client \ server
Spero di essere stato chiaro
Chiaramente sono da inserire entrabe le configurazioni
Con il comando "icmp ..." dichiari quali type sono accettati verso l'ip della interfaccia in questione.
Con il comando "access-l xxx permit icmp ... " dichiari quali type icmp possono attraversare la interfaccia e quindi il traffico va e viene dai client \ server
Spero di essere stato chiaro
Chiaramente sono da inserire entrabe le configurazioni
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Volendo questo topic può essere rinominato in "Best practice per PIX \ ASA IOS 7 - 8"
Se vi interessa rinomino, metto come importante e inizio a scrivere qualche cosa
Se vi interessa rinomino, metto come importante e inizio a scrivere qualche cosa
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
- Cisco enlightened user
- Messaggi: 129
- Iscritto il: mer 01 apr , 2009 9:58 am
E lo scrivi pure????
-------------------------------------------------------
SAVONA FRANCESCO
CCNA
-------------------------------------------------------
SAVONA FRANCESCO
CCNA
-------------------------------------------------------
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Va bene dai, appena riesco inizio!
Pardon ma questo è un periodo in cui ho un po' poco tempo ahimè
Pardon ma questo è un periodo in cui ho un po' poco tempo ahimè
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
1 - Abilitare nat-control e xlate-bypass
2 - Confg logging almeno nel buffer (livello warning)
3 - Accesso il ssh sia da reti interne che da internet
4 - Filtrare accesso alla console del fw con gli ip sorgente
5 - Avere 2 firewall per avere il failover
6 - Abbassare arp timeout a 120 secondi
7 - Aumentare il limite per le richieste dns a 1500 (inspection)
8 - Rimuovere inspections su smtp
9 - Abilitare threat-detection
10 - Per la comunicazione tra le varie interfaccie usare nat0 invece che la regola di nat statico (qua è oppinabile e magari approfondiremo meglio questo discorso)
11 - Configurare i type icmp permessi verso gli ip delle interfaccie
12 - Config acl su tutte le interfaccie
13 - Settare staticamente la velocità delle interfaccie
2 - Confg logging almeno nel buffer (livello warning)
3 - Accesso il ssh sia da reti interne che da internet
4 - Filtrare accesso alla console del fw con gli ip sorgente
5 - Avere 2 firewall per avere il failover
6 - Abbassare arp timeout a 120 secondi
7 - Aumentare il limite per le richieste dns a 1500 (inspection)
8 - Rimuovere inspections su smtp
9 - Abilitare threat-detection
10 - Per la comunicazione tra le varie interfaccie usare nat0 invece che la regola di nat statico (qua è oppinabile e magari approfondiremo meglio questo discorso)
11 - Configurare i type icmp permessi verso gli ip delle interfaccie
12 - Config acl su tutte le interfaccie
13 - Settare staticamente la velocità delle interfaccie
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
- n00b
- Messaggi: 11
- Iscritto il: mer 09 lug , 2008 3:42 pm
Ciao,Wizard ha scritto:
10 - Per la comunicazione tra le varie interfaccie usare nat0 invece che la regola di nat statico (qua è oppinabile e magari approfondiremo meglio questo discorso)
leggendo questa Best Practice, secondo te è meglio usare NAT0 oppure mettere per ogni singolo server che deve essere visto da un interfaccia di livello inferiore (es Domain controller) fare solo NAT statico?
Grazie,
Francesco