Realizaré NAT en la interfaz externa de un ASA a un servidor web dentro de una DMZ. Me gustaría deshabilitar proxy-arp en todas las interfaces que pueda. Sé que la interfaz externa necesitará tener proxy-arp habilitado debido a la declaración NAT. ¿Necesito tener proxy-arp habilitado también en la interfaz DMZ?
Respuestas:
El servidor web solo necesitará ARPAR el ASA para obtener la dirección MAC para su puerta de enlace (predeterminada). Por lo tanto, el ASA no necesitará responder un ARP para ninguna otra dirección IP que no sea la suya. Puede desactivar de forma segura proxy-arp en la interfaz DMZ. Está en lo cierto al suponer que lo necesita para la interfaz externa.
No necesita proxy arp en la LAN DMZ. El sistema web responderá ARP por sí mismo en esa LAN.
Proxy ARP se utiliza en los ASA para responder a los hosts que se utilizan en NAT estáticos en la misma red.
Para evitar esto, recomendaría enrutar cualquier dirección utilizada como STATIC a la dirección FW, lo que eliminará la necesidad de Proxy ARP en el ASA y cualquier otra cosa.
ASA usará proxy-arp para responder la solicitud entrante a la dirección IP de NAT, por lo que solo tendrá que habilitarla en la interfaz externa.