CiscoForums.it

Buongiorno a tutti.

Avrei la necessità di configurare un ASA (8.3) affinchè solo alcuni client (con IP definiti) possano accedere ad internet.

Ho provato a fare:

object-group network allow_ips
network-object host 192.168.1.100
network-object host 192.168.1.200
network-object host 192.168.1.201
access-list allowinternet extended permit ip object-group allow_ips any
access-list allowinternet extended deny ip any any

access-group allowinternet in interface inside

ma non sembra funzionare.
Dove sbaglio?

Grazie a tutti

Il nat com'è impostato ?

Rizio

nat (inside) 1 0.0.0.0 0.0.0.0

esiste anche un nat 0 per le vpn.

Ciao

Risolto.

Ho tolto l'ultima ACL per il deny e riavviato.

Ora sembra funzionare.

Grazie comunque.

siland ha scritto:Risolto.

Ho tolto l'ultima ACL per il deny e riavviato.

Ora sembra funzionare.

Questa non è però una soluzione ma un workaround. Se gli ip sono quelli e devono uscire dritti c'è altro che non va.

Rizio

Gli ip non sono quelli ma sono indicati degli ip fittizi.

Cos'è che non dovrebbe andare? Se ho sbagliato qualcosa dimmi pure che correggo subito.

Grazie

S.a.

Non ha senso perchè se tu vuoi che questi IP (192.168.1.100, 192.168.1.200, 192.168.1.201) navighino liberamente e li ha messi in un acl questi devono navigare anche se c'è un acl di deny alla fine (per altro implicita).
Se tutto è configurato bene non puoi togliere la deny per far uscire degli IP in permit.

Rizio

Infatti, la deny implicita è rimasta. Molto probabilmente il "doppione" non viene digerito molto bene dall'applicazione.

Comunque, grazie per le dritte.

siland