CiscoForums.it

Inviato: **lun 31 mar , 2008 2:53 pm**

Ciao a tutti,
Vi distrunbo per una informazione.
Ho un ASA 5510.
Devo poter inoltrare tutto il traffico destinato alla porta 8080 di un determinato indirizzo IP pubblico verso la porta 80 dell'indirizzo privato.
In più devo mantenete un nat statico del "real ip" con il "mapped ip".
Questa è la conf:

static (INSIDE,OUTSIDE) tcp 230.230.230.230 8080 10.0.0.11 www netmask 255.255.255.255

static (INSIDE,OUTSIDE) 230.230.230.230 10.0.0.11 netmask 255.255.255.255

C'e' un problema però, se inserisco prima il nat statico (seconda riga di configurazione) e poi il port redirection (prima riga di conf) ottengo un messaggio di errore che mi evita l'inserimento. Se inserisco i comandi nell'ordine come mostrato ho il seguente messaggio:
"WARNING: mapped-address conflict with existing static"
TCP INSIDE:10.0.0.11/80 to OUTSIDE:230.230.230.230/8080 netmask 255.255.255.255

"WARNING: real-address conflict with existing static"
TCP INSIDE:10.0.0.11/80 to OUTSIDE:230.230.230.230/8080 netmask 255.255.255.255

C'è un modo più corretto per ottenere lo stesso risultato ?

Grazie a tutti.

Inviato: **lun 31 mar , 2008 3:19 pm**

Fregatene, è un warning non un error.
Metti pure le 2 righe in questo ordine

static (INSIDE,OUTSIDE) tcp 230.230.230.230 8080 10.0.0.11 www netmask 255.255.255.255

static (INSIDE,OUTSIDE) 230.230.230.230 10.0.0.11 netmask 255.255.255.255

e fai uno "sh run" per vedere se le ha caricate entrambe.
Ricordati di mettere le acl in ingresso

Inviato: **lun 31 mar , 2008 3:35 pm**

Perfetto grazie.
Stavo impazzendo per cercare un metodo alternativo, es. Policy NAT, ma non ne venivo a capo ...

Inviato: **ven 12 giu , 2009 3:19 pm**

Ciao a tutti, ho un problema,
devo elimimare un solo indirizzo ip publico da una classe di 62 indirizzi ip.

Sul firewall (PIX CISCO ) è impostato questo comando

static (inside,outside) xxx.xxx.xxx.xxx 192.168.0.128 netmask 255.255.255.192

se ad esempio volessi togliere solo l'indirizzo 192.168.0.135 da questo nat come devo fare??

Grazie

Inviato: **mar 16 giu , 2009 7:49 pm**

E perchè dovresti rimuoverlo?!
Nega il traffico con una acl

Inviato: **mer 17 giu , 2009 7:18 am**

Devo rimuoverlo perche poi dovro riutilizzare quell'indirizzo publico se utilizzo l'acl nego il traffico ma non è quello che serve a me..hai qualche idea??

Grazie mille per la risposta

Inviato: **mer 17 giu , 2009 9:33 pm**

Allora:

static (inside,outside) xxx.xxx.xxx.xxx 192.168.0.128 netmask 255.255.255.192

Questa statc a cosa ti serve, per fare uscire la tua rete interna con gli ip pubblici?!
E' uno spreco di ip e un affronto alla sicurezza!

Cancella quella regola di nat, gestisci il nat verso internet con il pat e x gli ip che devi pubblicare fai delle regole di static però con indirizzi /32

Inviato: **gio 18 giu , 2009 9:33 am**

Quella regola di nat era stata fatta perche servivano tutti quegli indirizzi ip nattati 1:1.

Dal momento che pero adesso alcuni indirizzi interni sono stati dismessi è necessario recuperare gli indirizzi ip publici per riutilizzartli.

Forse sono stato poco chiaro prima nel esporre il mio problema :

Io ho bisogno di liberare un po di indirizzi ip da questa classe ma non posso eliminare direttamente tutta la regola perche ancora l' 80% delle nat è in funzione.

Inviato: **gio 18 giu , 2009 11:52 am**

Io ho bisogno di liberare un po di indirizzi ip da questa classe ma non posso eliminare direttamente tutta la regola perche ancora l' 80% delle nat è in funzione.

So che è una palla ma devi cancellare quella regola e crearne n puntuali

Inviato: **gio 18 giu , 2009 2:18 pm**

a questa soluzione ci avevo gia pensato.

vabbe comunque è strano che non si possa eliminare una nat da questo range...

Grazie per la disponibilita se hai news a riguardo fammi sapere

Inviato: **gio 18 giu , 2009 2:41 pm**

Eh, sinceramente nn mi viene in mente nessun metodo anche teorico