NAT per esporre un server WEB – Cisco ASA

Una delle applicazioni principali di un firewall è quella di esporre un servizio all’esterno in (maggiore) sicurezza, limitando comunque l’accesso da internet al server che il servizio sta fornendo.

In parole povere, se desidero pubblicare un server web, voglio che soltanto la porta 80 sia accessibile, mentre tutto il resto delle porte debbono essere filtrate. A questo scopo si usano due delle colonne portanti delle configurazioni (di base) dei firewall: il NAT statico ed il filtraggio mediante Access List.…

Cisco Asa

Configurazione dei firewal Cisco ASA

Policy based routing per Cisco ASA

Come costruire route basate sugli indirizzi di provenienza

La configurazione di una default route è una delle operazioni più normali per un firewall. Se consideriamo il comando

route outside 0 0 192.168.1.1

significa: qualunque pacchetto in transito per il quale non ci siano informazioni di destinazione più specifiche sarà inviato all’interfaccia outside, con gateway di next-hop (cioè sarà consegnato al gateway) 192.168.1.1

Questo funziona benissimo se abbiamo una o più  reti che usano un solo gateway di uscita verso internet. Supponiamo di avere però due reti diverse, ad esempio  rete1: 192.168.10.0  e rete2: 192.168.20.0 e DUE gateway di uscita diversi, su due interfacce differenti, che vogliamo usare per dirigere il traffico internet.

Static Route Tracking su firewall ASA

Supponiamo di avere un ambiente dual ISP. ed avere configurato due rotte statiche di default sull’interfaccia esterna del firewall, che puntino a due router differenti (come in figura).

Se le due connessioni hanno velocità molto diverse, si può usare la più veloce come primaria, e l’altra come linea di backup.

Ma se le due connessioni hanno prestazioni simili, preferiremo avere uno sfruttamento completo delle due linee, con il failover sulla linea superstite in caso di guasto di una delle due connessioni.…

Consentire il traffico di ICMP attraverso firewall ASA

ASA di default non consente il traffico di ICMP, per cui blocca automaticamente il passaggio di pacchetti relativi a ping, trace, e così via.  Può essere utile consentirne il traffico attraverso il firewall. Questo si può raggiungere attraverso la definizione di una service policy.

Routing di base su Cisco ASA (3)

Arrivati a questo punto, e visti i post precedenti (1) e (2) vediamo in che modo viene elaborato un pacchetto per determinarne l’indirizzamento: Determinazione percorso di uscita (Egress interface) Se esiste una xlate, vale a dire se l’indirizzo di destinazione è nattato, innanzi tutto l’indirizzo viene tradotto nel suo corrispettivo (chiamiamolo indirizzo reale) e poi…

Routing di base su Cisco ASA (2)

Un firewall, e gli ASA non fano eccezione, ha sempre delle buone capacità di routing, considerato che viene usato per interconnettere diverse subnet. Vediamo come ASA costruisce la propria tabella di routing.…

Routing di base con Cisco ASA

Routing

In italiano si potrebbe tradurre con instradamento, ma il termine ormai fa parte della nostra lingua. Indica l’insieme dei processi che un router o un firewall usa per instradare opportunamente un pacchetto in transito.…

Configurazione di DHCP per Cisco ASA firewall

Configurazione di Cisco ASA DHCP server

Cisco ASA supporta un dhcp server che  può essere configurato per ogni interfaccia. Ad ogni interfaccia può essere associato un pool di indirizzi diverso, con eventuali intervalli di esclusione.  Ogni pool di indirizzi supporta soltanto 256 indirizzi. Mentre le interfacce possono essere configurate con maschere di rete diverse, i pool DHCP sono di fatto limitati a reti /24 (se fosse necessario, dovremo ricorrere a server DHCP più sofisticati. Il server DHCP di Windows 2012 ad esempio supporta ambiti più ampi).

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. Usiamo i cookies per ragioni tecniche. Teniamo in alta considerazione la tua privacy.

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi