PIX e Policy nat

[Francesco87]

Ciao, mi sono avvicinato da poco al fantastico mondo dei PIX e ho subito una domandina per voi:

Dalla rete INSIDE devo poter raggiungere la DMZ (senza NAT) e la OUTSIDE (con NAT).

Se imposto il comando:

Codice: Seleziona tutto

nat (inside) 1 <tutta la rete inside>
global (outside) 1 <range pubblico>

vengo nattato anche quando tento di accedere alla DMZ, il che non mi piace.

Ho quindi pensato di poter selezionare il traffico sulla INSIDE da nattare mediante una ACL come segue:

Codice: Seleziona tutto

access-list TBN extended deny ip any <rete DMZ>
access-list TBN extended permit ip any any

ma quando vado ad usare la acl nel comando nat (inside)... ottengo:

ERROR: Deny rules not supported in Policy Nat

Come posso fare per essere nattato dalla INSIDE solo quando vado verso la OUTSIDE e non quando vado verso la DMZ??

Grazie

[Wizard]

NAT0 ("Nat zero" o "No-Nat")
Dalla rete inside alla rete dmz (ed eventualemnte contrario)

[Francesco87]

Googlo, grazie

[Francesco87]

Quoto per chi altro si trovasse nella stessa situazione:

To configure NAT exemption, enter the following command:

Codice: Seleziona tutto

hostname(config)# nat (real_interface) 0 access-list acl_name [outside]

Create the access list using the access-list command. This access list can include both permit ACEs and deny ACEs. Do not specify the real and destination ports in the access list; NAT exemption does not consider the ports. NAT exemption also does not consider the inactive or time-range keywords; all ACEs are considered to be active for NAT exemption configuration.

Grazie ancora
Ciau!

[Wizard]

Grande! Finalmente uno che non vuole \ ha bisogno della pappina pronta!
Buona serata!

[Francesco87]

LOL