Policy based routing per Cisco ASA

Come costruire route basate sugli indirizzi di provenienza

La configurazione di una default route è una delle operazioni più normali per un firewall. Se consideriamo il comando

route outside 0 0 192.168.1.1

significa: qualunque pacchetto in transito per il quale non ci siano informazioni di destinazione più specifiche sarà inviato all’interfaccia outside, con gateway di next-hop (cioè sarà consegnato al gateway) 192.168.1.1

Questo funziona benissimo se abbiamo una o più  reti che usano un solo gateway di uscita verso internet. Supponiamo di avere però due reti diverse, ad esempio  rete1: 192.168.10.0  e rete2: 192.168.20.0 e DUE gateway di uscita diversi, su due interfacce differenti, che vogliamo usare per dirigere il traffico internet.

Static Route Tracking su firewall ASA

Supponiamo di avere un ambiente dual ISP. ed avere configurato due rotte statiche di default sull’interfaccia esterna del firewall, che puntino a due router differenti (come in figura).

Se le due connessioni hanno velocità molto diverse, si può usare la più veloce come primaria, e l’altra come linea di backup.

Ma se le due connessioni hanno prestazioni simili, preferiremo avere uno sfruttamento completo delle due linee, con il failover sulla linea superstite in caso di guasto di una delle due connessioni.…

Consentire il traffico di ICMP attraverso firewall ASA

ASA di default non consente il traffico di ICMP, per cui blocca automaticamente il passaggio di pacchetti relativi a ping, trace, e così via.  Può essere utile consentirne il traffico attraverso il firewall. Questo si può raggiungere attraverso la definizione di una service policy.

Routing di base su Cisco ASA (3)

Arrivati a questo punto, e visti i post precedenti (1) e (2) vediamo in che modo viene elaborato un pacchetto per determinarne l’indirizzamento: Determinazione percorso di uscita (Egress interface) Se esiste una xlate, vale a dire se l’indirizzo di destinazione è nattato, innanzi tutto l’indirizzo viene tradotto nel suo corrispettivo (chiamiamolo indirizzo reale) e poi…

Cisco ASA configurare interfacce in modalità routed

Un firewall ASA può essere configurato in due modalità diverse: bridged e routed. Le interfacce in modalità bridged appartengono ad un unico bridge, non hanno indirizzo IP e fanno riferimento alla configurazione del firewall in modo trasparente. In questa modalità il firewall non è visibile a livello 3 ed esegue le operazioni all’interno di una subnet. Non ci occuperemo di questa modalità.

Cisco ASA Configurare le interfacce da CLI (1)

Un firewall Cisco ASA può essere configurato sia dall’interfaccia di management specifica (per i modelli che la prevedono) sia attraverso una qualunque interfaccia ethernet. Gli esempi che facciamo fanno riferimento alla versione 9.6, ma possono essere applicati in gran parte alle versioni precedenti, specialmente pe questi comandi di base.

Ancora su FTP e NAT

Per quanto il protocollo ftp sia piuttosto datato, viene ancora spesso utilizzato per trasferire dati in rete. Può però accadere che ci siano problemi nelle connessioni:  a volte il client FTP si autentica, il server accetta le credenziali, ma la sessione rimane sospesa e non  si riesce a inviare o scaricare alcun dato. Vediamo perché e come risolvere il problema.

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. Usiamo i cookies per ragioni tecniche. Teniamo in alta considerazione la tua privacy.

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi