NAT per esporre un server WEB – Cisco ASA

Una delle applicazioni principali di un firewall è quella di esporre un servizio all’esterno in (maggiore) sicurezza, limitando comunque l’accesso da internet al server che il servizio sta fornendo.

In parole povere, se desidero pubblicare un server web, voglio che soltanto la porta 80 sia accessibile, mentre tutto il resto delle porte debbono essere filtrate. A questo scopo si usano due delle colonne portanti delle configurazioni (di base) dei firewall: il NAT statico ed il filtraggio mediante Access List.…

Policy based routing per Cisco ASA

Come costruire route basate sugli indirizzi di provenienza

La configurazione di una default route è una delle operazioni più normali per un firewall. Se consideriamo il comando

route outside 0 0 192.168.1.1

significa: qualunque pacchetto in transito per il quale non ci siano informazioni di destinazione più specifiche sarà inviato all’interfaccia outside, con gateway di next-hop (cioè sarà consegnato al gateway) 192.168.1.1

Questo funziona benissimo se abbiamo una o più  reti che usano un solo gateway di uscita verso internet. Supponiamo di avere però due reti diverse, ad esempio  rete1: 192.168.10.0  e rete2: 192.168.20.0 e DUE gateway di uscita diversi, su due interfacce differenti, che vogliamo usare per dirigere il traffico internet.

Static Route Tracking su firewall ASA

Supponiamo di avere un ambiente dual ISP. ed avere configurato due rotte statiche di default sull’interfaccia esterna del firewall, che puntino a due router differenti (come in figura).

Se le due connessioni hanno velocità molto diverse, si può usare la più veloce come primaria, e l’altra come linea di backup.

Ma se le due connessioni hanno prestazioni simili, preferiremo avere uno sfruttamento completo delle due linee, con il failover sulla linea superstite in caso di guasto di una delle due connessioni.…

1. Firewall PFsense: stateful filtering

PFsense è un firewall opensource diffuso e di installazione piuttosto semplice. Una delle sue caratteristiche è quella di fornire, come molti altri firewall, un filtraggio Stateful. Vediamo di cosa si tratta. Diamo per scontata l’installazione di PFsense, che non è particolarmente complessa, e vediamo gli aspetti basilari della sua configurazione.

Consentire il traffico di ICMP attraverso firewall ASA

ASA di default non consente il traffico di ICMP, per cui blocca automaticamente il passaggio di pacchetti relativi a ping, trace, e così via.  Può essere utile consentirne il traffico attraverso il firewall. Questo si può raggiungere attraverso la definizione di una service policy.

Routing di base su Cisco ASA (3)

Arrivati a questo punto, e visti i post precedenti (1) e (2) vediamo in che modo viene elaborato un pacchetto per determinarne l’indirizzamento: Determinazione percorso di uscita (Egress interface) Se esiste una xlate, vale a dire se l’indirizzo di destinazione è nattato, innanzi tutto l’indirizzo viene tradotto nel suo corrispettivo (chiamiamolo indirizzo reale) e poi…

Cisco ASA Configurare le interfacce da CLI (1)

Un firewall Cisco ASA può essere configurato sia dall’interfaccia di management specifica (per i modelli che la prevedono) sia attraverso una qualunque interfaccia ethernet. Gli esempi che facciamo fanno riferimento alla versione 9.6, ma possono essere applicati in gran parte alle versioni precedenti, specialmente pe questi comandi di base.

ASA 5505 factory reset

Se è necessario effettuare il factory reset di un firewall ASA 5505, per riportarlo alla configurazione inziale, è sufficiente seguire la procedura che segue (questa procedura funziona se abbiamo accesso all’ASA, vale a dire se conosciamo username e password e solo in single context mode):…

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. Usiamo i cookies per ragioni tecniche. Teniamo in alta considerazione la tua privacy.

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi