No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 Forefront TMG 2010
 Forefront TMG - Installazione e Configurazione
 STATIC NAT - 1:1 Inbound
 New Topic  Reply to Topic
 Printer Friendly
Author Previous Topic Topic Next Topic  

byrollo
Junior Member

87 Posts

Posted - 18/12/2011 :  01:56:41  Show Profile  Reply with Quote
Ciao a tutti.
Ho un TMG di front-end e un Cisco ASA (senza interfaccie disponibili) dietro che gestisce tutta un'altra rete.
Le due strutture sono separate che non collaborano.
Devo, anche se è orribile, fare un NAT statico di tutto il traffico (NAT 1:1 in inbound), da uno degli IP pubblici del TMG, verso uno dell'ASA.
So che TMG in uscita fa il NAT avanzato, mi chiedevo se fosse possibile farlo anche in ingresso e come?
La connettività tra le reti è già esistente e funzionante, L'ASA fa parte della LAT di TMG.
Grazie per la collaborazione.

IsaCab
Moderator

4298 Posts

Posted - 27/12/2011 :  09:52:33  Show Profile  Reply with Quote
Ciao,

non ho capito molto bene, puoi spiegare meglio cosa vuoi fare, o meglio, cosa deve fare il NAT.

Te lo chiedo perchè nn vedo particolari difficoltà, visto che il tuo asa è in LAT, devi fare una semplice regola di pubblicazione del servizio (Porta) interessato.

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

byrollo
Junior Member

87 Posts

Posted - 27/12/2011 :  12:39:12  Show Profile  Reply with Quote
quote:
Originally posted by IsaCab

Ciao,

non ho capito molto bene, puoi spiegare meglio cosa vuoi fare, o meglio, cosa deve fare il NAT.

Te lo chiedo perchè nn vedo particolari difficoltà, visto che il tuo asa è in LAT, devi fare una semplice regola di pubblicazione del servizio (Porta) interessato.

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post


Ciao, grazie per l'attenzione.
non devo pubblicare una porta ma tutto il traffico IP verso da un ip pubblico dell TMG verso un ip privato dell'ASA.
Poi sarà l'asa di volta in volta ad aprire le porte necessarie.
Spero che in TMG questo sia possibile.
Grazie
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 27/12/2011 :  13:11:07  Show Profile  Reply with Quote
Ciao,

dovresti crearti un protocollo (TCP e UDP) con tutte le porte e usarlo per la pubblicazione.

A me non piace molto come soluzione. IN caso di doppio NAT preferisco fare sempre il doppio lavoro (pubblicare due volte i servizi richiesti) perchè così ho modo di tenere la situazione sotto controllo.

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

byrollo
Junior Member

87 Posts

Posted - 27/12/2011 :  15:26:13  Show Profile  Reply with Quote
quote:
Originally posted by IsaCab

Ciao,

dovresti crearti un protocollo (TCP e UDP) con tutte le porte e usarlo per la pubblicazione.

A me non piace molto come soluzione. IN caso di doppio NAT preferisco fare sempre il doppio lavoro (pubblicare due volte i servizi richiesti) perchè così ho modo di tenere la situazione sotto controllo.

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post


Ciao, grazie per la risposta.
Sono assolutamente d'accordo con le doppie pubblicazioni, è infatti stata la mia prima proposta, ma putroppo non mi è data la grazia di sapere che porte apriranno sull'ASA.
La solozione che mi proponi è bruttina però.
Così non faccio una pubblicazione del protocollo IP, ma TCP/IP o almeno credo...
Pensavo, correggimi se sbaglio, che le nuove networks rules di TMG funzionassero anche da external ad internal specificando un dato IP nella relazione di NAT.
...una sorta di questo http://www.isaserver.org/tutorials/Configuring-One-to-One-NAT-TMG-2010.html ma al contrario.
Si può fare?

Edited by - byrollo on 27/12/2011 16:31:50
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 28/12/2011 :  10:00:37  Show Profile  Reply with Quote
Ciao,

la network rule stabilisce solo il tipo di relazione tra due oggetti network e non il traffico. Per il traffico poi devi creare le access rule/Publisher rule.

COn questo voglio dire che anche riuscendo a creare un NAT 1:1 (e in ingresso normalmente i NAT sono statici, poi devi abilitare il tipo di traffico consentito tra i due oggetti network.

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

byrollo
Junior Member

87 Posts

Posted - 28/12/2011 :  17:55:01  Show Profile  Reply with Quote
Ciao Giulio,
sono d'accordo con te sul fatto che per il nat devo usare comunque delle access anzichè delle pubb rules per aprire il traffico. Mi sfugge però una cosa:
Quando creo la relazione di nat from external to internal mi chiede di specificare un ip privato che deve essere bindato sull'intefaccia internal del TMG. Nel mio caso invece ho bisogno di specificare un ip differente, ovvero uno di quelli che possiede l'ASA sulla sua interfaccia.
Come si può fare ammesso che TMG faccia questo mestiere?
Grazie

quote:
Originally posted by IsaCab

Ciao,

la network rule stabilisce solo il tipo di relazione tra due oggetti network e non il traffico. Per il traffico poi devi creare le access rule/Publisher rule.

COn questo voglio dire che anche riuscendo a creare un NAT 1:1 (e in ingresso normalmente i NAT sono statici, poi devi abilitare il tipo di traffico consentito tra i due oggetti network.

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post

Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 29/12/2011 :  09:30:36  Show Profile  Reply with Quote
Ciao,

forse mi sono spiegato male. Tu devi usare le publisher rule per dirottare il traffico da ISA/TMG all'ASA.

1) Devi fare una network rule (puoi anche seguire l'esempio del link che mi ha postato) in relazione di NAT

2) Devi creare un protocollo TCP e uno UDP inbound per tutte le porte

3) Devi fare due publiher rule verso l'ip dell'asa per i due nuovi protocolli

In questo modo hai creato un NAT "Aperto" verso l'asa che poi a sua volta dovra gestire delle rebole di pubblicazione verso la sua ete interna.


Quello che a me nn piace e che sinceramente non condivido sono i punti 2 e 3. Se parliamo di sicurezza, questa operazione non ha senso, ed averebbe molto più senso fare delle pubblicazioni mirate.

quote:
ma putroppo non mi è data la grazia di sapere che porte apriranno sull'ASA.


:-) questo è il segreto di pulcinella, non ci vuole molto a scoprire queste fantomatiche porte che apriranno sull'asa .... ma questa è un altra storia e anzi scusami la divagazione.

GIulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

byrollo
Junior Member

87 Posts

Posted - 30/12/2011 :  00:16:02  Show Profile  Reply with Quote
Ciao Giulio,
so che sei molto esperto, quindi sicuramente non ho capito qualcosa io.

al punto 1, se come dici uso NAT From External to Interna, il wizard mi chiede di specificare un IP che deve essere Bindato sulla skeda Internal del TMG. A me serve invece nattare verso un IP dell ASA.

al punto 3, se come dici creo una network rule di NAT, credo che le pubblising rule non vadano bene, in caso di NAT infatti si usano solitamente le access rule...se non ricordo male.

al punto 2, se creo dei protocolli in quel modo, non pubblico il protocollo IP, ma porte TCP e UDP...

Puoi cortesemente darmi qualche info aggiuntiva.

In particolare:
- devo usare NAT e se si che IP vado a specificare per riferirmi all'asa nel wizard della Network Rule?
- devo usare Pubb Rule o Access Rule?
- si puù pubblicare il protocollo IP anzichè tutte le porte TCP/IP?

ti ringrazio infinitamente.

quote:
Originally posted by IsaCab

Ciao,

forse mi sono spiegato male. Tu devi usare le publisher rule per dirottare il traffico da ISA/TMG all'ASA.

1) Devi fare una network rule (puoi anche seguire l'esempio del link che mi ha postato) in relazione di NAT

2) Devi creare un protocollo TCP e uno UDP inbound per tutte le porte

3) Devi fare due publiher rule verso l'ip dell'asa per i due nuovi protocolli

In questo modo hai creato un NAT "Aperto" verso l'asa che poi a sua volta dovra gestire delle rebole di pubblicazione verso la sua ete interna.


Quello che a me nn piace e che sinceramente non condivido sono i punti 2 e 3. Se parliamo di sicurezza, questa operazione non ha senso, ed averebbe molto più senso fare delle pubblicazioni mirate.

quote:
ma putroppo non mi è data la grazia di sapere che porte apriranno sull'ASA.


:-) questo è il segreto di pulcinella, non ci vuole molto a scoprire queste fantomatiche porte che apriranno sull'asa .... ma questa è un altra storia e anzi scusami la divagazione.

GIulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post

Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 30/12/2011 :  09:53:25  Show Profile  Reply with Quote
Ciao,

forse ho capito dove non ci troviamo :

quote:
NAT From External to Interna


Ma tu hai già un NAT From : Internal To: External e qui nasce il mismatch tra noi.

Sinceramente non so se quello che tu stai cercando di fare sia giusto o sbagliato, ma proviamo a fare qualche considerazione :

Partiamo da questo :

NAT relationship


quote:
Network Address Translation (NAT) relationships between networks are unidirectional. The traffic is handled according to the source or destination of the traffic. Forefront TMG performs NAT as follows:


quote:
In access rules, Forefront TMG replaces the client IP address on the source network with the Forefront TMG default IP address for the destination network. For example, if you create a NAT relationship in a network rule between the internal network and the external network, the source IP address of a request from the internal network is replaced with the default IP address of the Forefront TMG network adapter connected to the external network. Access rules that handle traffic between networks defined with a NAT relationship can only use the source network specified on the From tab, and the destination network specified on the To tab of the rule.


quote:
In server publishing rules, the client in the destination network makes a connection to the Forefront TMG IP address on which the publishing rule is listening for requests. When Forefront TMG forwards the traffic to the published server, it replaces the Forefront TMG IP address with the IP address of the internal server that it is publishing, but it does not modify the source IP address. Note that in a NAT relationship, server publishing rules can only access the network specified as the destination network. In addition, because server publishing across networks with NAT leaves the source IP address intact when forwarding traffic to the published server, the published server must use the Forefront TMG computer as the last hop in the routing structure to the destination network. If this is not possible, configure server publishing rules to use the setting Requests appear to come from the Forefront TMG computer. This causes Forefront TMG to perform full NAT on the traffic handled by the rule.


Bene, partendo da quello che vuoi fare tu (NAT From: External To: Internal) le mie perplessità sono :

1) La external non è LAT e metterla in source nelle access rule non so che tipo di problemi potrebbe crearti. Anche in virtu del fatto che esiste già una relazione di NAT tra INternal ed External (Defualt)

2) Mettendo che funzioni (ho dei dubbi) devi poi comunque autorizzare i vari protocolli (All Network protocoll) che in pratica abilita tutto il traffico.

3) Devi poi preoccuparti di dirottare il traffico verso l'asae qui la vedo dura, visto che le access rule abilitano il traffico non lo redirigono (cosa che invece fanno le publisher rule)


...ora nn viene altro ... ma credo che questo basti.

Riepilogando io farei (solo se serimanete minacciato :-) ) così :

1) Elimina la network rul che hai creato From: External To: Internal
2) Utilizza la regola di defautl (Internal to External), o al massimo createne una uova in accordo al documento che mi avevi postato.
3) Creati il/i protocolli (Inbound) necessari ad abiltiare il traffico che desideri
4) Usa una una o più publisher rule per redirigere il traffico all'asa.

TCP/IP :


IP (Internet Protocl) = Layer 3 o Rete (OSI MODEL)
IP (Internet Protocl) = Internet (L2) (TCP-IP MODEL)

TCP/UDP = Layer 4 o Trasporto (OSI MODEL)
TCP/UDP = Layer 3 o Trasporto (TCP-IP MODEL)

Bene, per le publisher rule TMG Lavora L4/L7 OSI. In L3 OSI puoi abilitare solo ICMP.


Spero di averti chiarito il mio pensiero.

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

byrollo
Junior Member

87 Posts

Posted - 03/01/2012 :  18:54:18  Show Profile  Reply with Quote
Ciao, Adesso è tutto molto più chiaro anche per me.
Peccato non sia possibile fare un NAT 1:1 in stile firewall classico layer 3.

comunque appena riesco a fare dei test ti faccio subito sapere.

ti ringrazio tanto per il supporto.

un saluto a tutti!

quote:
Originally posted by IsaCab

Ciao,

forse ho capito dove non ci troviamo :

quote:
NAT From External to Interna


Ma tu hai già un NAT From : Internal To: External e qui nasce il mismatch tra noi.

Sinceramente non so se quello che tu stai cercando di fare sia giusto o sbagliato, ma proviamo a fare qualche considerazione :

Partiamo da questo :

NAT relationship


quote:
Network Address Translation (NAT) relationships between networks are unidirectional. The traffic is handled according to the source or destination of the traffic. Forefront TMG performs NAT as follows:


quote:
In access rules, Forefront TMG replaces the client IP address on the source network with the Forefront TMG default IP address for the destination network. For example, if you create a NAT relationship in a network rule between the internal network and the external network, the source IP address of a request from the internal network is replaced with the default IP address of the Forefront TMG network adapter connected to the external network. Access rules that handle traffic between networks defined with a NAT relationship can only use the source network specified on the From tab, and the destination network specified on the To tab of the rule.


quote:
In server publishing rules, the client in the destination network makes a connection to the Forefront TMG IP address on which the publishing rule is listening for requests. When Forefront TMG forwards the traffic to the published server, it replaces the Forefront TMG IP address with the IP address of the internal server that it is publishing, but it does not modify the source IP address. Note that in a NAT relationship, server publishing rules can only access the network specified as the destination network. In addition, because server publishing across networks with NAT leaves the source IP address intact when forwarding traffic to the published server, the published server must use the Forefront TMG computer as the last hop in the routing structure to the destination network. If this is not possible, configure server publishing rules to use the setting Requests appear to come from the Forefront TMG computer. This causes Forefront TMG to perform full NAT on the traffic handled by the rule.


Bene, partendo da quello che vuoi fare tu (NAT From: External To: Internal) le mie perplessità sono :

1) La external non è LAT e metterla in source nelle access rule non so che tipo di problemi potrebbe crearti. Anche in virtu del fatto che esiste già una relazione di NAT tra INternal ed External (Defualt)

2) Mettendo che funzioni (ho dei dubbi) devi poi comunque autorizzare i vari protocolli (All Network protocoll) che in pratica abilita tutto il traffico.

3) Devi poi preoccuparti di dirottare il traffico verso l'asae qui la vedo dura, visto che le access rule abilitano il traffico non lo redirigono (cosa che invece fanno le publisher rule)


...ora nn viene altro ... ma credo che questo basti.

Riepilogando io farei (solo se serimanete minacciato :-) ) così :

1) Elimina la network rul che hai creato From: External To: Internal
2) Utilizza la regola di defautl (Internal to External), o al massimo createne una uova in accordo al documento che mi avevi postato.
3) Creati il/i protocolli (Inbound) necessari ad abiltiare il traffico che desideri
4) Usa una una o più publisher rule per redirigere il traffico all'asa.

TCP/IP :


IP (Internet Protocl) = Layer 3 o Rete (OSI MODEL)
IP (Internet Protocl) = Internet (L2) (TCP-IP MODEL)

TCP/UDP = Layer 4 o Trasporto (OSI MODEL)
TCP/UDP = Layer 3 o Trasporto (TCP-IP MODEL)

Bene, per le publisher rule TMG Lavora L4/L7 OSI. In L3 OSI puoi abilitare solo ICMP.


Spero di averti chiarito il mio pensiero.

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post

Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 03/01/2012 :  20:25:07  Show Profile  Reply with Quote
Ciao,

quote:
Peccato non sia possibile fare un NAT 1:1 in stile firewall classico layer 3.


cambia il modo di operare (es. cisco farai un ipnat (inside/outside) ..... ) ma le logiche sono le stesse.

Il NAT in ingresso normalmente viene usato per pubblicare i servizi ospitati LAN/DMZ/SCREENED ZONE ed il NAT che operi è un nat statico L4/7

Su isa facendo un protocollo per tutte le porte in realta è come se facessi un NAT statico L3 aprendo tutto il traffico TCP/UDP. resta fuori solo ICMP, ARP ... (ma ARP su internet non ha molto senso). L'ICMP in questo caso lo gestisci dalle system policy.

La vera anomalia è aprire tutto il traffico in ingresso, quando si potrebbe sfruttare il doppio firewall come ulteriore protezione .... ma questa è solo una divagazione teorica.

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page
  Previous Topic Topic Next Topic  
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso più efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it è parte del network GITCA - Global IT Community Association