J'exécuterai le NAT sur l'interface externe d'un ASA à un serveur Web dans une DMZ. Je voudrais désactiver proxy-arp sur toutes les interfaces que je peux. Je sais que l'interface externe devra avoir proxy-arp activé en raison de l'instruction NAT. Dois-je également activer proxy-arp sur l'interface DMZ?
Le serveur Web n'aura besoin que d'ARP l'ASA pour obtenir l'adresse MAC de sa passerelle (par défaut). Ainsi, l'ASA n'aura pas besoin de répondre à un ARP pour toute autre adresse IP que la sienne. Vous pouvez désactiver en toute sécurité proxy-arp sur l'interface DMZ. Vous avez raison de supposer que vous en avez besoin pour l'interface extérieure.
Vous n'avez pas besoin d'arp proxy sur le LAN DMZ. Le système Web répondra lui-même à ARP sur ce réseau local.
Le proxy ARP est utilisé sur les ASA pour répondre aux hôtes qui sont utilisés dans les NAT STATIQUES sur le même réseau.
Pour contourner ce problème, je recommanderais d'acheminer toutes les adresses utilisées comme STATIC vers l'adresse FW, ce qui supprimera le besoin de Proxy ARP sur l'ASA et tout le reste.
ASA utilisera proxy-arp pour répondre à la demande entrante à l'adresse IP NAT-ed, vous n'aurez donc qu'à l'activer sur l'interface extérieure.