Re: [Cug] Problema strano con PIX

Thu, 01 Apr 2010 05:53:27 -0700 

2010/4/1 Normando Marcolongo <[email protected]>:
> Ciao!
>
> Ho un problema strano di NAT con un PIX ASA5510. Qualche dettaglio:
> - classiche 2 interfacce
> - una direttiva 'global (outside)' con un IP X non dell'interfaccia esterna
> ma, ovviamente, "dentro" la subnet in cui sta l'outside
> - una direttiva 'nat (inside)' per fare uscire tutta la subnet inside.
> - diverse direttive static (inside,out-fw) IP.PUBBLICOY IP.PRIVATO per il
> traffico entrante
> - le regole nella forma delle "nuove" access-list che permettono il traffico
> entrante (e' una ACL applicata in 'in' all'interfaccia outside)
> - # sh ver
>
> Cisco Adaptive Security Appliance Software Version 7.0(8)
> Device Manager Version 5.0(8)
>
> Problema:
> - tutto funziona alla meraviglia: gli host della rete interna navigano
> tranquillamente con l'IP X pubblico e i server nattati dalle static escono
> con i rispettivi IP assegnati (es. IP.PUBBLICOY)
> - ogni tanto NON funziona piu' un NAT e il traffico entrante non entra piu'.
> Il tutto si risolve generando traffico verso internet dall'IP privato
> destinatario del NAT non funzionante
>
> Cose fatte a naso (praticamente non ho studiato mai niente dei PIX :-) ) e
> non capite:
> - ma il proxy-arp degli IP.PUBBLICI oggetto di una static e' automagico?
> - non e' necessario aggiungere direttive static per il nat al contrario?
> Cioe' tipo static (out-fw, inside) IP.PRIVATO IP.PUBBLICOY?
> - perche' ha funzionato bene per anni?
>
> Per ulteriori dettagli sono qui, ovviamente ;-)
>
> Grazie!
> Normando
>
> _______________________________________________
> http://www.areanetworking.it
> http://www.areanetworking.it/blog
> [email protected]
> http://ml.areanetworking.it/mailman/listinfo/cug
>
>

ciao!
la butto li escludendo un problema di conf dell'ASA visto che รจ sempre
andato tutto per anni! :D


potresti avere "sopra" degli ip duplicati?

R-----SW-------ASA------HOSTs
        |
HOST con stesso ip

con sopra intendo tra l'ASA e il Router che fa livello3; per esempio
attaccato allo switch dello schema.

test: quando "non funziona il NAT" riesci lo stesso a pingare l'IP
pubblico. Guarda sul Router la tabella di ARP se il mac address
cambia.

dario


-- 
dario calamai
http://www.linkedin.com/in/dariocalamai

_______________________________________________
http://www.areanetworking.it
http://www.areanetworking.it/blog
[email protected]
http://ml.areanetworking.it/mailman/listinfo/cug

Reply via email to