yarasha Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ci Цитата: slech по поводу пинга   насколько я знаю, ASA не позволяет пинговать distant interfac-ы (т.е. интерфейсы, к которым Вы НЕ подключены). исключение составляет VPN и используется команда "management-access XXXX (interface)".     Нееее....Все она позволяет. Хотя вопрос slech задал спору нет, интересный. Ниже написано так, как понял это я, а понял я не до конца, так как у меня не все работает, как хотелось.   1. По умолчанию, все запрещено, то есть надо все явно разрешать. 2. ICMP  трафик через Cisco и трафик директ на любой из интерфейсов, в идеологии Cisco начиная где-то с IOS 8.x , как говорят в Одессе две большие разницы. Почему так, ой не спрашивайте меня, раньше было проще, а сейчас я и сам теряюсь. Есть  только предположения, что это связано с определенным типом возможных атак. 3. Если есть NAT, то надо еще отдельно заморочки и правила писать     У меня работает приблизительно следующее:   ciscoasa (config) # icmp permit any conversion-error outside ciscoasa (config) # icmp permit any echo-replay outside ciscoasa (config) # icmp permit any parameter-problem outside ciscoasa (config) # icmp permit any source-quench outside ciscoasa (config) # icmp permit any time-exceeded outside ciscoasa (config) # icmp permit any unreachable outside   Причем для пингов проходящих через ASA в другие сети написаны отдельные правила Всего записей: 207 | Зарегистр. 28-10-2002 | Отправлено: 01:30 07-08-2009

se111 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору господа помогите с проблемкой http://forum.ru-board.com/topic.cgi?forum=8&topic=33646#1 , замучался с VPN на cisco 1841 ---------- создание сайтов Всего записей: 782 | Зарегистр. 21-04-2005 | Отправлено: 05:34 11-08-2009

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору rakis у меня  прямо повторилась сегодня твоя же история. Cisco ASA 5510 <--> NetGear FVX 538 удалял, пересоздавал, дебагил. результата 0. в какой то момент заработало самом собой. Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 15:48 13-08-2009

yarasha Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ESX091   если ошибаюсь, просьба поправьте. Да с PIX именно так и было. У меня был PIX 501 - так там интерфейса было реальных только 2 (inside, ourside). Switch ports не в счет.   Сейчас я говорю о ASA 5510 (IOS 8.2) Я использую 5 !! инерфейсов не считая SSM CSC модуля. Так вот, понятие inside - outside, как таковое  в приминени к интерфейсам уже изменилось. Оно определяется исключительно  security level.   например у меня: Eth 0/0  level 0  plovider1 Eth 0/1 level 50 dmz Eth 0/2 level 50 gastnet Eth0/3 level 0 provider2 Man 0/0  level 100 ournet   мне тогда нужно было, что-бы я Eth 0/1 и Eth 0/2  с любого (внутреннего) хоста мог пинговать. Ранее написанные строки у меня работали под ээээ... 7.2.3 ???? Но работали - клянусь своей тюбитекой. Сейчас такой необходимости нет.   Источником информации я брал.. во вспомнил!!! Cisco ASA Configuration Richard A.Deal Там этот вопрос  расписан.   Всего записей: 207 | Зарегистр. 28-10-2002 | Отправлено: 15:51 13-08-2009

yarasha Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ESX091   Да, но это же для 7.1 . Я не спорю. Сразу встречный вопрос, а DMZ в реализации ASA это inside или outside? А если два провайдера??? То значит я с хоста на одном  интерфейсе могу пинговать другой интерфейс, ведь оба интерфейса outside???   ICMP filtering очень сильно отличается от версии к версии. Например до версии 5.2 ping an any interface точно без бубна работал !!!!. нужны ссылки от версии 8.0     Всего записей: 207 | Зарегистр. 28-10-2002 | Отправлено: 12:25 14-08-2009

rakis Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Ну что ж коллеги. Все мои злоключения по поводу не рабочего IPSEC'а наконец закончились. Спасибо всем откликнувшимся за помощь.   Проблема оказалась проста до безобразия - филиал прислал настройки: ip   62.y.y.54 mask 255.255.255.252 gate 62.x.x.55 Посыпаю голову пеплом: 62.x.x.55 - широковещательный адрес для сетки 62.y.y.54/30. После исправления шлюза на 62.y.y.53, все заработало с первоначальными настройками.   P.S. В очередной раз убедился в двух прописных истинах - "чудес не бывает" и "доверяй, но проверяй". Настройки были взяты со старого шлюза, не думая вбил на новом Всего записей: 379 | Зарегистр. 17-01-2006 | Отправлено: 08:42 17-08-2009 | Исправлено: rakis, 08:44 17-08-2009

tyghr Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору приветствую всех!   нужен совет, ситуация:   ПИКС: внешний интерфейс ДМЗ внутренний интерфейс   в ДМЗ есть сервер (1.1.1.20) , на нем крутится апаче 80 порт с одного внешнего айпишнека (60.100.90.40) на этот апаче пробрасывается 80 порт   внешней днс допустим настроен (наше доменное имя ссылается на 60.100.90.40) на внутреннем днс пишем что наше доменное имя ссылается на 1.1.1.20   в чем вопрос - логично ли настраивать не через днс, а так, чтобы из внутренней подсети заходить на 60.100.90.40 ?   у когонибудь реализовано не через днс? Всего записей: 89 | Зарегистр. 14-03-2007 | Отправлено: 12:13 17-08-2009 | Исправлено: tyghr, 12:23 17-08-2009

yarasha Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ESX091   Даную книгу я в интернете тоже найти не смог. Пришлось купить ее на amazon. На данный момент могу только цитировать или выложить PDF главы о ICMP.   Страница 178 ICMP Traffic Through the Appliances… Страница 179 ICMP Traffic Directed at Appliances… (Until version 5.2.1 of the OS, any ICMP traffic destined for any of the interfaces of the appliances would be allowed, and the appliances would automatically respond. One unfortunate drawback of this process is that an attacker could use ICMP to learn that a appliance existed, and possibly learn some basis information about it. Up until version 5.2.1, you could not disable this function and make the appliance invisible to other devices. Starting with version 5.2.1, you the option of making the appliance stealthy –you can control how the appliance itself will respond to ICMP messages, or prevent them altogether. Until version 8.0, you only had one option for controlling this, ICMP filtering. Starting in version 8.0, you have a second option with the use of an ACL applied to the applied to the appliance itself (not an interface), referred to to as control plane filtering. With the former, you can control what ICMP messages the appliance will process when directed to one of its interfaces; with the latter, you control any type of traffic that the appliance will process when directed to itself. With the second option, you create your ACL and apply it to the appliance with the access-group command, using the control-plane parameter (instead of applying it to an interface). ……. (c)   Там же есть примеры…… Однако не стоит принимать эту книгу, как истину последней инстанции. На много лучше было бы найти мануал на даную тему на cisco.com от версии 8.0 и выше..Тогда было бы точно все ясно   Всего записей: 207 | Зарегистр. 28-10-2002 | Отправлено: 20:52 19-08-2009

lexx Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Подскажите пожалуйста, что нужно сделать чтобы cisco asa 5520 после перезагрузки не заходила в режим rommon #0>  и не приходилось писать boot, а чтобы она нормально загружалась сама? Всего записей: 63 | Зарегистр. 16-11-2002 | Отправлено: 07:26 27-08-2009

lexx Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору rakis Спасибо, разобрался.   Появился новый вопрос   переключил фаервол в транспарент   как подключится к веб-интерфейсу через management порт, в докментации указано что надо просто прописать ip адрес? прописал ciscoasa(config)# ip address 192.168.1.1 255.255.255.0   подключаюсь к менеджмент порту с ip 192.168.1.2   пинги идут до 192.168.1.1, а на вэб интерфейс не могу попасть telnet 192.168.1.1 80, 443,445 отбрасывает   Вот конфа   ASA Version 8.0(4)                                                               !                                                                                 firewall transparent                                                             hostname ciscoasa                                                                 enable password ######### encrypted                                       passwd ###### encrypted                                                 names                                                                             !                                                                                 interface GigabitEthernet0/0                                                      nameif outside                                                                    security-level 100                                                               !                                                                                 interface GigabitEthernet0/1                                                      nameif inside                                                                    security-level 100                                                               !                                                                                 interface GigabitEthernet0/2                                                      shutdown                                                                          no nameif                                                                        no security-level                                                               !                                                                                 interface GigabitEthernet0/3                                                      shutdown                                                                          no nameif                                                                        no security-level                                                               !                                                                                 interface Management0/0                                                            nameif management                                                                security-level 0                                                                  management-only                                                                 !                                                                                 boot system disk0:/asa804-k8.bin                                                 ftp mode passive                                                                 same-security-traffic permit inter-interface                                     access-list outside-in extended permit icmp any any                               access-list inside-in extended permit icmp any any                               pager lines 24                                                                   mtu outside 1500                                                                 mtu inside 1500                                                                   mtu management 1500                                                               ip address 192.168.1.1 255.255.255.0                                             no failover                                                                       icmp unreachable rate-limit 1 burst-size 1                                       asdm image disk0:/asdm-621.bin                                                   no asdm history enable                                                           arp timeout 14400                                                                 access-group outside-in in interface outside                                     access-group inside-in in interface inside                                       timeout xlate 3:00:00                                                             timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02                 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00   timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00   timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute                     dynamic-access-policy-record DfltAccessPolicy                                     no snmp-server location                                                           no snmp-server contact                                                           snmp-server enable traps snmp authentication linkup linkdown coldstart           crypto ipsec security-association lifetime seconds 28800                         crypto ipsec security-association lifetime kilobytes 4608000                     telnet timeout 5                                                                 ssh timeout 5                                                                     console timeout 0                                                                 threat-detection basic-threat                                                     threat-detection statistics access-list                                           no threat-detection statistics tcp-intercept                                     !                                                                                 class-map inspection_default                                                      match default-inspection-traffic                                                 !                                                                                 !                                                                                 policy-map type inspect dns preset_dns_map                                        parameters                                                                         message-length maximum 512                                                     policy-map global_policy                                                          class inspection_default                                                           inspect dns preset_dns_map                                                       inspect ftp                                                                       inspect h323 h225                                                                 inspect h323 ras                                                                 inspect rsh                                                                       inspect rtsp                                                                     inspect esmtp                                                                     inspect sqlnet                                                                   inspect skinny                                                                   inspect sunrpc                                                                   inspect xdmcp                                                                     inspect sip                                                                       inspect netbios                                                                   inspect tftp                                                                   !                                                                                 service-policy global_policy global                                               prompt hostname context                                                           Cryptochecksum:f448199e2789beb6233e65819b02245a                                   : end         Всего записей: 63 | Зарегистр. 16-11-2002 | Отправлено: 12:34 28-08-2009

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование