Doppio static nell'ASA 5510
Rizio
ricordo che sul PIX si poteva fare (con IOS 6.x) ma mi sembra che con l'asa (e
IOS 8.4) non si riesca piu' a fare; vorrei presentare un'ip pubblicato in
OUTSIDE in DMZ con l'ip pubblico. La macchina pero' e' gia' presentata dalla DMZ
in OUTSIDE (con un ip della DMZ)
mi spiego meglio, adesso sono messo cosi':
static (dmz,outside) tcp 121.1.1.1 smtp 192.168.1.1 smtp netmask 255.255.255.255
e funziona tutto correttamente, pero' vorrei poter vedere la stessa macchina in
DMZ con l'ip pubblico. Percio' vorrei fare questo:
static (outside,dmz) tcp 121.1.1.1 smtp 121.1.1.1 smtp netmask 255.255.255.255
in modo da poter raggiungere la macchina sia con l'ip della dmz sia con l'ip
pubblico. Con il PIX mi sembrava di averlo fatto (a memoria) con l'ASA mi dice
ciccia:
Dec 15 2009 18:21:54: %ASA-2-106017: Deny IP due to Land Attack from 121.1.1.1
to 121.1.1.1
Sbaglio io o non funziona di suo ?
Grazie
Rizio
--
Si dice che essere liberi significa non avere nulla da perdere... ma la veritᅵ ᅵ
che non avere nulla da perdere significa essere pronti a rischiare tutto ciᅵ che
si possiede.
Francesco Paolini
>
> Dec 15 2009 18:21:54: %ASA-2-106017: Deny IP due to Land Attack from
> 121.1.1.1 to 121.1.1.1
>
> Sbaglio io o non funziona di suo ?
a memoria non ha mai funzionato. sei sicuro di averlo fatto in un pix?
Rizio
> a memoria non ha mai funzionato. sei sicuro di averlo fatto in un pix?
Mi sembra di ricordare di si pero' ammetto che l'ho dismesso da un bel po'
percio' potrei sbagliare.
C'e' un altro sistema che tu sappia per rendere disponibile l'ip pubblico in DMZ ?
Tosh
> 255.255.255.255
>
Cos� non pu� funzionare, il secondo ip deve essere un ip fisico, prova con
questi comandi:
global (dmz) 1 interface
static (dmz,dmz) 121.1.1.1 192.168.1.1
ma temo che non potrai vedere pi� il server con il suo ip reale
Rizio
> Cosᅵ non puᅵ funzionare, il secondo ip deve essere un ip fisico, prova con
> questi comandi:
>
> global (dmz) 1 interface
>
> static (dmz,dmz) 121.1.1.1 192.168.1.1
>
> ma temo che non potrai vedere piᅵ il server con il suo ip reale
Ho provato ma non funziona, continuo a vedere il server con l'ip della dmz in
dmz e con l'ip pubblico dall'esterno.
A parte la prova che stiamo facendo ora, posso chiederti come mai mi fai mettere
anche il global ? Perche' non posso mettere solo lo static ?
Chino
> mi spiego meglio, adesso sono messo cosi':
>
> static (dmz,outside) tcp 121.1.1.1 smtp 192.168.1.1 smtp netmask
> 255.255.255.255
>
> e funziona tutto correttamente, pero' vorrei poter vedere la stessa
> macchina in DMZ con l'ip pubblico. Percio' vorrei fare questo:
>
> static (outside,dmz) tcp 121.1.1.1 smtp 121.1.1.1 smtp netmask
> 255.255.255.255
>
> in modo da poter raggiungere la macchina sia con l'ip della dmz sia con
> l'ip pubblico. Con il PIX mi sembrava di averlo fatto (a memoria) con
> l'ASA mi dice ciccia:
>
Secondo me non potr� mai funzionare.
Non esiste nella tua rete una macchina con indirizzo fisico 121.1.1.1,
perci� il secondo NAT che hai fatto non ha senso.
N� sul PIX n� sull'ASA.
Tosh
> in dmz e con l'ip pubblico dall'esterno.
Forse va in conflitto con qualche altra statica, io ho provato e funziona (n
realt� l'ho fatto sulla inside), ma solo per sfizio, credo che le
applicazioni pratiche di una cosa del genere siano piuttosto originali.
> A parte la prova che stiamo facendo ora, posso chiederti come mai mi fai
> mettere anche il global ? Perche' non posso mettere solo lo static ?
Se ho interpretato bene quanto letto, nella logica dell'asa tu esci verso la
outside e poi rientri in dmz, quindi hai bisogno di un global, magari
disattivando il nat-control puoi farne a meno, ma non ho provato.
Ciao,
Tosh.
Rizio
> Secondo me non potrᅵ mai funzionare.
> Non esiste nella tua rete una macchina con indirizzo fisico 121.1.1.1,
> perciᅵ il secondo NAT che hai fatto non ha senso.
> Nᅵ sul PIX nᅵ sull'ASA.
Come ho detto all'inizio purtroppo non posso riprovare con il pix pero' a
memoria mi sembra di ricordare che funzionasse, cmq in ogni caso mi piacerebbe
riuscire a farlo funzionare con l'ASA.
Riguardo al discorso pratico sto semplicemente cercando di pubblicare un ip
dell'outside in dmz, se vuoi puoi vederla cosi'. L'ip dell'outside non e' una
macchina fisica ma punta ad una macchina in dmz, personalmente non mi sembra una
grossa complicazione per un oggetto come l'asa e anche concettualmente si tratta
di un nat statico e null'altro.
In ogni caso se non funziona cosi' provero' altre strade.
Ciao
Rizio
> Forse va in conflitto con qualche altra statica, io ho provato e funziona (n
> realtᅵ l'ho fatto sulla inside), ma solo per sfizio, credo che le
> applicazioni pratiche di una cosa del genere siano piuttosto originali.
Su quell'ip (il pubblico 121.1.1.1) ho solo un'altro static "inverso" nel senso
che dall'outside va verso la dmz alla macchina fisica.
Adesso sono messo cosᅵ:
ASA# sh run static
static (dmz,outside) tcp 121.1.1.1 smtp 192.168.1.1 smtp netmask 255.255.255.255
ASA# sh run global
global (outside) 1 interface
global (outside) 2 121.1.1.1
> Se ho interpretato bene quanto letto, nella logica dell'asa tu esci verso la
> outside e poi rientri in dmz, quindi hai bisogno di un global, magari
> disattivando il nat-control puoi farne a meno, ma non ho provato.
Hummm.... faccio qualche altra prova poi vedo, grazie intanto.