Ciao a tutti,
Vi distrunbo per una informazione.
Ho un ASA 5510.
Devo poter inoltrare tutto il traffico destinato alla porta 8080 di un determinato indirizzo IP pubblico verso la porta 80 dell'indirizzo privato.
In più devo mantenete un nat statico del "real ip" con il "mapped ip".
Questa è la conf:
static (INSIDE,OUTSIDE) tcp 230.230.230.230 8080 10.0.0.11 www netmask 255.255.255.255
static (INSIDE,OUTSIDE) 230.230.230.230 10.0.0.11 netmask 255.255.255.255
C'e' un problema però, se inserisco prima il nat statico (seconda riga di configurazione) e poi il port redirection (prima riga di conf) ottengo un messaggio di errore che mi evita l'inserimento. Se inserisco i comandi nell'ordine come mostrato ho il seguente messaggio:
"WARNING: mapped-address conflict with existing static"
TCP INSIDE:10.0.0.11/80 to OUTSIDE:230.230.230.230/8080 netmask 255.255.255.255
"WARNING: real-address conflict with existing static"
TCP INSIDE:10.0.0.11/80 to OUTSIDE:230.230.230.230/8080 netmask 255.255.255.255
C'è un modo più corretto per ottenere lo stesso risultato ?
Grazie a tutti.
NAT
Moderatore: Federico.Lagni
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Fregatene, è un warning non un error.
Metti pure le 2 righe in questo ordine
static (INSIDE,OUTSIDE) tcp 230.230.230.230 8080 10.0.0.11 www netmask 255.255.255.255
static (INSIDE,OUTSIDE) 230.230.230.230 10.0.0.11 netmask 255.255.255.255
e fai uno "sh run" per vedere se le ha caricate entrambe.
Ricordati di mettere le acl in ingresso
Metti pure le 2 righe in questo ordine
static (INSIDE,OUTSIDE) tcp 230.230.230.230 8080 10.0.0.11 www netmask 255.255.255.255
static (INSIDE,OUTSIDE) 230.230.230.230 10.0.0.11 netmask 255.255.255.255
e fai uno "sh run" per vedere se le ha caricate entrambe.
Ricordati di mettere le acl in ingresso
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
- n00b
- Messaggi: 8
- Iscritto il: mer 04 mar , 2009 9:48 am
Ciao a tutti, ho un problema,
devo elimimare un solo indirizzo ip publico da una classe di 62 indirizzi ip.
Sul firewall (PIX CISCO ) è impostato questo comando
static (inside,outside) xxx.xxx.xxx.xxx 192.168.0.128 netmask 255.255.255.192
se ad esempio volessi togliere solo l'indirizzo 192.168.0.135 da questo nat come devo fare??
Grazie
devo elimimare un solo indirizzo ip publico da una classe di 62 indirizzi ip.
Sul firewall (PIX CISCO ) è impostato questo comando
static (inside,outside) xxx.xxx.xxx.xxx 192.168.0.128 netmask 255.255.255.192
se ad esempio volessi togliere solo l'indirizzo 192.168.0.135 da questo nat come devo fare??
Grazie
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
E perchè dovresti rimuoverlo?!
Nega il traffico con una acl
Nega il traffico con una acl
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Allora:
static (inside,outside) xxx.xxx.xxx.xxx 192.168.0.128 netmask 255.255.255.192
Questa statc a cosa ti serve, per fare uscire la tua rete interna con gli ip pubblici?!
E' uno spreco di ip e un affronto alla sicurezza!
Cancella quella regola di nat, gestisci il nat verso internet con il pat e x gli ip che devi pubblicare fai delle regole di static però con indirizzi /32
static (inside,outside) xxx.xxx.xxx.xxx 192.168.0.128 netmask 255.255.255.192
Questa statc a cosa ti serve, per fare uscire la tua rete interna con gli ip pubblici?!
E' uno spreco di ip e un affronto alla sicurezza!
Cancella quella regola di nat, gestisci il nat verso internet con il pat e x gli ip che devi pubblicare fai delle regole di static però con indirizzi /32
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
- n00b
- Messaggi: 8
- Iscritto il: mer 04 mar , 2009 9:48 am
Quella regola di nat era stata fatta perche servivano tutti quegli indirizzi ip nattati 1:1.
Dal momento che pero adesso alcuni indirizzi interni sono stati dismessi è necessario recuperare gli indirizzi ip publici per riutilizzartli.
Forse sono stato poco chiaro prima nel esporre il mio problema :
Io ho bisogno di liberare un po di indirizzi ip da questa classe ma non posso eliminare direttamente tutta la regola perche ancora l' 80% delle nat è in funzione.
Dal momento che pero adesso alcuni indirizzi interni sono stati dismessi è necessario recuperare gli indirizzi ip publici per riutilizzartli.
Forse sono stato poco chiaro prima nel esporre il mio problema :
Io ho bisogno di liberare un po di indirizzi ip da questa classe ma non posso eliminare direttamente tutta la regola perche ancora l' 80% delle nat è in funzione.
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
So che è una palla ma devi cancellare quella regola e crearne n puntualiIo ho bisogno di liberare un po di indirizzi ip da questa classe ma non posso eliminare direttamente tutta la regola perche ancora l' 80% delle nat è in funzione.
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Eh, sinceramente nn mi viene in mente nessun metodo anche teorico
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....