Policy based routing per Cisco ASA

L’individuazione di una default route è una delle operazioni più normali per un firewall. Se consideriamo il comando

route outside 0 0 192.168.1.1

significa: qualunque pacchetto in transito per il quale non ci siano informazioni di destinazione più specifiche sarà inviato all’interfaccia outside, con gateway di next-hop (sarà consegnato al gateway) 192.168.1.1

Questo funziona benissimo se abbiamo molte reti diverse ma un solo gateway di uscita. Supponiamo di avere però due reti diverse, ad esempio  rete 1: 192.168.10.0  e rete 2: 192.168.20.0 e DUE gateway di uscita diversi, su due interfacce differenti.

Supponiamo di volere inoltre configurare due rotte di default una per rete1 ed una per rete2, ognuna verso un gateway diverso (192.168.1.1 e 192.168.2.1).

In questo caso una default route non ci può aiutare, perché  non tiene in considerazione la rete di partenza, ma solo la destinazione.

naturalmente provare  a usare il comando

route outside1 0 0 192.168.1.1

route outside2 0 0 192.168.2.1

non funzina. Il firewall chiede di aggiungere distanze amministrative diverse alle due rotte, e usa solo quella di priorità più elevata.

In questo caso dobbiamo usare un approccio diverso, appunto il Policy Base Routing.

Il PBR ci consente di stabilire come effettuare il routing considerando la sorgente e la destinazione del traffico (e in realtà anche diverse altre cose che qui non vedremo).

La prima operazione da svolgere è quella di stabilire una rotta di default:

route outside1 0 0 192.168.10.1

questa regola invierà per default  tutto il traffico sull’interfaccia outside1 versoil gateway 192.168.10.1

Ora vogliamo creare una configurazione che dica: invia tuto il traffico dalla rete 192.168.20.0 sull’interfaccia outside2, con gateway di inoltro 192.168.2.1 (next hop).

 

 

Read more

Static Route Tracking su firewall ASA

Supponiamo di avere un ambiente dual ISP. ed avere configurato due rotte statiche di default sull’interfaccia esterna del firewall, che puntino a due router differenti (come in figura).

Se le due connessioni hanno velocità molto diverse, si può usar…

Read more

PFsense: egress filtering

Cosa vuol dire egress.

Nel lingo dei firewall si intende come egress il traffico in uscita dal firewall verso reti esterne. Nel caso dei firewall a due interfacce di tipo domestico, o comunque per reti di piccole dimensioni, con egress si intende il…

Read more

Firewall PFsense: stateful filtering

PFsense è un firewall opensource diffuso e di installazione piuttosto semplice. Una delle sue caratteristiche è quella di fornire, come molti altri firewall, un filtraggio Stateful. Vediamo di cosa si tratta. Diamo per scontata l’installazione di PFsense, che non è particolarmente complessa, e vediamo gli aspetti basilari della sua configurazione.

Si dice stateful firewall  un firewall che tiene traccia delle connessioni effettuate dall’interno verso l’esterno, e consente traffico di rito…

Read more

Consentire il traffico di ICMP attraverso firewall ASA

ASA di default non consente il traffico di ICMP, per cui blocca automaticamente il passaggio di pacchetti relativi a ping, trace, e così via.  Può essere utile consentirne il traffico attraverso il firewall. Questo si può raggiungere attraverso la definizione di una service policy.

In breve:
ASA(config)# class-map icmp-class
ASA(config-cmap)# match default-inspection-traffic
ASA(config-cmap)# exit
ASA(config)# policy-map icmp_policy
ASA(config-pmap)# class icmp-class
ASA(config-pmap-c)#…

Read more

Routing di base su Cisco ASA (2)

Un firewall, e gli ASA non fano eccezione, ha sempre delle buone capacità di routing, considerato che viene usato per interconnettere diverse subnet. Vediamo come ASA costruisce la propria tabella di routing.
Tabelle di routing
Le decisioni d instradamento vengono prese da router e firewall sulla base di tabelle di routing.

Nel caso del routing statico, le tabelle sono crate sulla base di configurazioni manuali. Non esiste dunque la possibilità, normalmente, di modificarle senza un interven…

Read more

Routing di base con Cisco ASA

Routing
In italiano si potrebbe tradurre con instradamento, ma il termine ormai fa parte della nostra lingua. Indica l’insieme dei processi che un router o un firewall usa per instradare opportunamente un pacchetto in transito.

Il routing di ogni…

Read more

Configurazione di DHCP per Cisco ASA firewall

Configurazione di Cisco ASA DHCP server
Cisco ASA supporta un dhcp server che  può essere configurato per ogni interfaccia. Ad ogni interfaccia può essere associato un pool di indirizzi diverso, con eventuali intervalli di esclusione.  Ogni pool di indirizzi supporta soltanto 256 indirizzi. Mentre le interfacce possono essere configurate con maschere di rete diverse, i pool DHCP sono di fatto limitati a reti /24 (se fosse necessario, dovremo ricorrere a server DHCP più sofisticati. Il server DH…

Read more

Benvenuti su corsinetworking.it

Print Friendly

Sito dedicato al networking e all’attività sistemistica.

In questo sito trovate esempi di configurazione, descrizioni di protocolli e risorse per il networking. Si tratta di esempi tratti dall’esperienza professionale sistemistica e/o dai corsi che tengo in Italia :

Apparati di rete Cisco

Firewall Cisco ASA e open source

Protocolli Internet

Esperienze di utilizzo di ambienti server

Per i protocolli, le fonti sono prevalentemente le RFC; sono ovviamente affidabili. Per le configurazioni, molto viene dai manuali dei singoli apparati, ed il resto dall’esperienza. Spesso i manuali sono in inglese, e ho conosciuto diversi sistemisti che hanno difficoltà con questa lingua. Immagino che gli esempi di configurazione potranno perciò essere utili.

Interessati ad un corso?

I clienti interessati possono scriverci per corsi  presso la rete di società di formazione con cui collaboriamo con sedi in tutta Italia). Chi desidera organizzare un corso presso la propria azienda, a tariffe particolarmente interessanti, può contattarci direttamente per avere una quotazione.  Il catalogo dei corsi erogati si trova a questa pagina.
E’ possibile contattarci scrivendo a info(at)corsinetworkig.it
Per i servizi sistemistici erogati da N.B.S., siete pregati di visitare questo link

Accedendo a queste pagine implicitamente accettate le condizioni di utilizzo relative.

Questo sito è curato da Massimo Giustiniani e N.B.S. srl