A solução seria colocar um switch após o modem e conectar o ASA e o filtro de spam ao switch e, em seguida, colocar uma ACL para permitir que os dados do filtro sejam enviados para a rede interna?
Alguma idéia de como isso pode ser feito em um ASA? Houve uma sonicwall no lugar, mas acabou de morrer e não temos um substituto além deste ASA. O 24.172.x.132 é um filtro de spam e não posso alterar o endereço IP. Ele precisa ser capaz de acessar um servidor na LAN.
Uma DMZ tradicional teria um firewall entre a DMZ e a internet, e uma entre a DMZ e a rede interna. Você pode fazer isso tudo em um ASA, mas isso depende do modelo e do licenciamento.
Internet
--------- Firewall
DMZ (with your spam filter)
--------- Firewall
Inside network
Você pode transformar esse primeiro firewall em um software, executado no servidor de filtro de spam.
Assim, você pode ter o servidor na rede da Internet no que diz respeito ao ASA. Se você tiver portas sobressalentes no seu ASA, basta atribuir uma à rede externa (para ter duas) e conectar seu servidor de spam a ela. Em seguida, crie uma regra de firewall que permita o tráfego do servidor de filtro de spam para sua rede interna, conforme necessário. Se você não tiver uma porta sobressalente, precisará de um switch antes do ASA.
Você pode ficar mais chique usando uma DMZ vlan no próprio ASA e usar o ASA para fazer o firewall do filtro de spam e da rede interna. Este é provavelmente o mais próximo do que o seu Sonicwall estava fazendo.
Não tenho certeza se isso funcionará para você, mas tenho um filtro de spam na nuvem que pode ser usado em meu servidor de troca interno para que pareça uma situação semelhante.
Eu tenho uma regra de acesso de entrada que permite que a fonte 24.172.x.132 fale com o destino x.x.x.x (fora do ip do seu servidor) para o serviço smtp.
Então eu tenho uma regra NAT estática na interface externa para a fonte 192.x.x.x (dentro do ip do seu servidor) para o serviço smtp com o endereço x.x.x.x (fora do ip do seu servidor)
exemplo:
access rule:
outside:
source;24.172.x.132
destination;server-outside-ip
service;smtp
action; permit
NAT Rule:
type;static
no destination
source;server-inside-ip
service;smtp
interface;outside