Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Открыть новую тему     Написать ответ в эту тему

era

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cisco PIX Firewall / ASA

 
Cisco PIX Firewall / ASA - OS ищем тут !
 
 
 
 
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
 
 
Уже обсуждалось
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
 
 
Родственные темы
Настройка Cisco оборудования.
 
 
FAQ
 
 
 
 

Всего записей: 1 | Зарегистр. 07-08-2002 | Отправлено: 10:41 07-08-2002 | Исправлено: slech, 09:30 11-06-2008
greenfox



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
aequit
по умолчанию с внутреннего интерфейса (inside) разрешено всё на внешний (outside), но с пингом надо или inspection соот-й что бы циска могла парсить пакеты icmp как двуноправленое соединение или открывать правилами доступа с аутсайда на инсайд. Проще конечно вписать инспекшен соот-й:
http://www.youtube.com/watch?v=ecgNII0aMhY


----------
Три вещи вечны: смерть, налоги и потеря данных...

Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 19:55 15-05-2013
aequit

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо, хоть как-то сдвинулся с места.
Инспекшн (inspect icmp и inspect icmp error), как на видео, прописал в policy-map global_policy:
ciscoasa(config)# policy-map global
ciscoasa(config-pmap)# class inspection_default
ciscoasa(config-pmap-c)# inspect icmp
ciscoasa(config-pmap-c)# inspect icmp error
ciscoasa(config-pmap-c)# end
 
Теперь с источника 192.168.1.2 (комп, подключенный к inside, где 192.168.1.1).  пингуется комп 192.168.0.2 (подключенный к outside 192.168.0.1). А вот сам цисочный
outside 192.168.0.1 с компа 192.168.1.2 не пингуется (почему?).  
С HyperTerminal все интерфейсы пингуются:
ciscoasa# ping 192.168.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Всего записей: 192 | Зарегистр. 17-11-2005 | Отправлено: 10:13 16-05-2013 | Исправлено: aequit, 11:02 16-05-2013
greenfox



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
aequit

Цитата:
 вот сам цисочный  
outside 192.168.0.1 с компа 192.168.1.2 не пингуется (почему?)

По умочлчанию afaik вы не можете пинговать цисковый интерфейс из др. подсети. Или иными словами вы можете пингануть только тот интерфейс циски к которому подключены. Т.е. из inside сможете только пинговать inside интерфейс циски, с outside сети - только outside interface. Это так по умолчанию сделано ( by design)
https://supportforums.cisco.com/thread/228630
(там на форуме можете поискать может есть какой-то обходной способ или в новых версиях ASA что-н поменяли)
Цитата:
Что-же нужно сделать, чтобы комп, подключенный к outside, достучался до сетки inside?  
Это уже другой вопрос - если у вас конфиг по умолчанию то у вас судя по всему включён нат (inside, outside) и соот-но трафик будет проходиьт только с внутреннней сети на внешнюю, но не наоборот. Что-бы разрешить трафик с outside на inside надо открыть соот-е правила доступа (ACL соот-е прописать) и прописать NAT соот-й (там несколько опций смотря как вы хотите и что открыть - если порт форвардинг - одно, если полностью включиьт роутинг меж с етями - другое, возможно тогда вам нат надо совсем отключить меж сетями)

----------
Три вещи вечны: смерть, налоги и потеря данных...

Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 10:48 16-05-2013
aequit

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо, значит насчет пинга цискового интерфейса можно не заморачиваться.
Трафик с outside на inside уже получается открывать, но пропадает наоборот, с inside на outside, но с этим уже можно разбираться (со ацесс листами и натом), просто без пингов непонятно было, работают ли правила или нет, казалось, что всё мёртвое.
 
p.s. С помощью ната никак не получается две подсети вместе соединить, либо с inside на outside есть пинг, либо наборот, даже все any в правилах выставлял - бестолку. Портфорвардинг не нужен. Этого можно на ASA 5505 добиться просто роутингом, убрав все правила ната или нужно комбинировать?
 
Разобрался. Методом тыка и чтения доков с циско ком потихоньку научился. Кошка уже заняла своё место в серверной. Чтобы две подсети вместе соединялись, создаются два правила в нате, интерфейсы должны быть одного уровня безопасности и на подключенных компах не забывать прописывать шлюзы, соответствующие интерфейсу асы, к которому комп подключен. Для выхода в инет, кроме создания правила в нате, при наличии внешнего белого ip, этот адрес назначается интерфейсу, который смотрит на провайдера, а также нужно задать маршрут по умолчанию, адресом назначения которого будет ip-шлюз провайдера. Ну и не забыть галочки ДНС поставить, где нужно.

Всего записей: 192 | Зарегистр. 17-11-2005 | Отправлено: 11:28 16-05-2013 | Исправлено: aequit, 22:12 14-06-2013
petr186

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подробнее...

Всего записей: 7 | Зарегистр. 13-05-2013 | Отправлено: 10:34 23-05-2013
aequit

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, есть ли у кого ASA и работающая в офисной сети программа документооборота Комита-курьер? Настроил ASA 5505, используется как Firewall, из внешнего белого ip раздаёт интернет на офисную сеть. C Керио Комита-курьер работала, но требовала отдельного правила, разрешался порт TCP2000. С ASA никак не могу заставить Комиту обмениваться документами...
 
з.ы. Подсказали добрые люди - для Комиты нужно отключить инспектирование сервиса скинни (порт 2000). Всё заработало.

Всего записей: 192 | Зарегистр. 17-11-2005 | Отправлено: 23:44 11-06-2013 | Исправлено: aequit, 17:21 14-06-2013
nikola771

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подробнее...

Всего записей: 1 | Зарегистр. 27-06-2013 | Отправлено: 15:41 27-06-2013
flash_83

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго времени суток, уважаемые!
 
Имеется ASA5505 (Security Plus License), подключенная к интернету через pppoe и две подсети - VLAN 1 192.168.10.0/24 (LAN) и VLAN 2 192.168.20.0/24 (WiFi через D-Link 2640U). К Wifi подключены смартфон htc и телек sony. Без ASA телек был виден в обозревателе компьютеров и можно было пользоваться DLNA (крутить фильмы с компа). Сейчас же возможен просмотр только через смартфон на телевизоре. Что нужно подкрутить в конфиге, чтобы можно было передавать файлы с компа, находящегося в сети 192.168.10.0/24 на телек в сети 192.168.20.0/24? Нужен именно такой вариант, предложения типа - "поменять айпишник" или "объединить VLAN"не принимаются.

 
FIXED

Всего записей: 300 | Зарегистр. 24-01-2007 | Отправлено: 12:54 01-07-2013 | Исправлено: flash_83, 12:16 09-07-2013
dima9751

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброе время суток.
 
Помогите, пожалуйста, со следующей проблемой.
 
Есть ASA5505  
interface outside работает как pppoe client на DSL router который находиться в bridge mode.
 
Хочу знать какая скорость соединения DSL router.
 
Сейчас приходиться подключать laptop к DSL router и смотреть скорость через Web interface.
 
Нельзя ли как то подключить DSL router через ASA 5005 чтоб можно было видеть Web interface router из локальной сети(asa 5505 interface inside)?
 
Как я понял через interface outside я не могу видеть DSL router.
 
Или есть какой-нибудь другой способ?
 
Заранее Спасибо за помощь.

Всего записей: 48 | Зарегистр. 22-11-2006 | Отправлено: 17:46 09-07-2013
AndreySergeevich



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dima9751
 
а почему на ASA не хотите смотреть скорость? Она ж пограничная, и все остальные только за ней.

Всего записей: 178 | Зарегистр. 21-02-2007 | Отправлено: 21:17 16-07-2013
dima9751

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AndreySergeevich
 
Вы имеете в виду Traffic Usage на outside интерфейсе?
Но мне это не надо, я хочу видеть DSL synchronization speed на рутере который в bridge mode.
 
Ну и в идеале и весь web interface рутера.
 
 
 
 

Всего записей: 48 | Зарегистр. 22-11-2006 | Отправлено: 01:38 17-07-2013
Gulfstream

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Помогите прописать правила для закрытия всего кроме http/ftp  трафика на ASA 5505
конфиг привожу ниже. С теми правилами которые есть компьютер спокойно коннектится по телнету, скажем к почтовому серверу.  
ASA Version 8.2(1)
!
hostname ciscoasa
domain-name 192.168.1.1
enable password jDUXMyqeIzxQIVgK encrypted
passwd jDUXMyqeIzxQIVgK encrypted
names
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.0.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 192.168.1.2 255.255.255.0
!
interface Ethernet0/0
 description WAN
 switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns domain-lookup inside
dns domain-lookup outside
dns server-group 8.8.8.8
 domain-name 192.168.2.1
dns server-group DefaultDNS
 name-server 8.8.8.8
 name-server 208.67.222.222
 name-server 208.67.220.220
 domain-name 192.168.1.1
access-list IN extended permit tcp interface outside interface inside eq www
access-list IN extended permit tcp interface outside interface inside eq ftp
access-list IN extended permit tcp interface outside interface inside eq ftp-data
access-list out extended permit tcp interface inside interface outside eq www
access-list out extended permit tcp interface inside interface outside eq https
access-list out extended permit tcp interface inside interface outside eq ftp
access-list out extended permit tcp interface inside interface outside eq ftp-data
access-list out extended deny tcp any any range 1 65535
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (inside) 1 interface
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd dns 208.67.220.220
!
dhcpd address 192.168.0.2-192.168.0.30 inside
dhcpd dns 8.8.8.8 interface inside
dhcpd enable inside
!
 
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
!
prompt hostname context
Cryptochecksum:3ca7a6f9e85cbcff5da05c080e3aa069
: end
 
 
 

Всего записей: 12 | Зарегистр. 17-03-2011 | Отправлено: 10:36 16-08-2013
triangel

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго времени суток, дорогие форумчане!
 
Иходные данные:  
Cisco ASA 5520 7.2 (обновление не возможно по целому ряду причин).
интерфейсы inside (192.168.0.1/24) outside (73.23.214.130/27) со шлюзом не стороне провайдера 73.23.214.129 и соответственно сеточкой на 30 адресов
 
Задача:
Опубликовать в интернете 2-а внутренних ресурса
192.168.0.11 в 73.23.214.131
192.168.0.12 в 73.23.214.132
 
Попытки решения:
Делал обычным статическим натом
static (inside,outside) 73.23.214.132 192.168.0.12 netmask 255.255.255.255 - не работает
а так
static (inside,outside) interface 192.168.0.12 netmask 255.255.255.255 - работает (но естественно с ip outside интерфейса)
 
Чувствую, что где-то упускаю очевидную и маленькую мелочь. Но где найти не могу.
Помогите пожалуйста.
 
С уважением и надеждой на помощь, triangel.
 
Спасибо, проблему устранил. noproxyarp надо было отключить.

Всего записей: 25 | Зарегистр. 06-12-2006 | Отправлено: 14:53 20-08-2013 | Исправлено: triangel, 08:43 21-08-2013
aamen



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
доброго времени суток, ув. алл.
 
вопрос такой недаёт покоя - на циске аса 5540 под иос 8.2 подняли clientless webvpn, все было отлично и работало безотказно. После апгрейда на 9.0, пявилась следущая проблема: если из букмарков можно открыть любой позволеный внутрений сайт на http, то на внутрений https никак неполучается, в чем может быть проблема? Похоже - что то с сертификатами, но не уверен. На внутренем сайте - сертификат от стартссл, халявный. На самой циске - пока self generated. На прямую во внутри сети внутрений сайт работает, через clientless vpn - никак.

Всего записей: 90 | Зарегистр. 14-10-2002 | Отправлено: 15:49 27-08-2013
zzzolegzzz



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Просветите пожалуйста - есть ли какие-то принципиальные отличия в алгоритме работы фаерволов Cisco ASA и CheckPoint?
 
Я почему-то считал всегда (имея опыт работы только с CheckPoint и Juniper) что все фаерволы (кроме домашних) по умолчанию имеют правила "всё запрещено", и только потом ты начинаешь добавлять дополнительные разрешающие правила. А тут начал разбираться с ASA - мне толкуют что там подход другой - по умолчанию разрешен полный доступ из внутренней сети во внешнюю?

Всего записей: 980 | Зарегистр. 15-05-2002 | Отправлено: 21:36 30-09-2013
BorisDr



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
zzzolegzzz
Разрешен доступ из сети с большим индексом безопасности в сеть с меньшим. Пример: внешняя - 0, внутренняя - 100, дмз - 50. Из внутренней будет свободно ходить в дмз и наружу, из дмз - только наружу. А снаружи только после специального правила.

Всего записей: 422 | Зарегистр. 30-05-2002 | Отправлено: 00:26 01-10-2013
zzzolegzzz



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BorisDr
А если мне не нужно, чтобы из внутренней свободно ходили во внешнюю? Мне необходимо контролировать (разрешать) кто конкретно из внутренней куда конкретно во внешнюю и по какому порту сможет ходить. Как тогда действовать?

Всего записей: 980 | Зарегистр. 15-05-2002 | Отправлено: 06:59 01-10-2013
BorisDr



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
zzzolegzzz
Это легко делается access-list'ами. Вплоть до времени когда можно ходить.

Всего записей: 422 | Зарегистр. 30-05-2002 | Отправлено: 07:54 01-10-2013
zzzolegzzz



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BorisDr
Правильно ли я понимаю что так называемый режим "по умолчанию" когда из внутренней сети можно свободно ходить во внешнюю работает только до той поры, пока на внутреннем интерфейсе не появится хоть какого запрещающего/разрешающего правила?  
 
Т.е. по умолчанию стоит такое правило "access-list inside_in permit any any any", но как только мы добавим какое-либо правило - это эта запись "уберется"? Или как?

Всего записей: 980 | Зарегистр. 15-05-2002 | Отправлено: 08:30 01-10-2013
admirator

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Коллеги, есть три сети: 192.168.0.0, 192.168.19.0 и 192.168.12.0.
В сети 0 стоит ASA 5510
В сети 19 и 12 стоит Cisco 881.
Между сетями подняты тоннели Site-to-Site.
Любые пакеты между этими тремя сетями ходят.
 
По адресу 192.168.12.7 стоит видеорегистратор, к которому по порту 2000 коннектится программа просмотра.
Проблема стала в том, что из сети 12 и 19 коннект идет без проблем. А вот из сети 0 подключиться на этот регистратор не могу. Пакет трасер выдает вот такую картину    
   
 
Что не так?
 
 
Коллеги, вопрос решен. Проблема оказалась в том, что на АСЕ был включен инспект SCCP (Skinny), который и срезал пакеты на 2000 порту. А на 881 такого инспекта не было.
Как только я отключил инспект SCCP (Skinny), все стало нормально работать.

Всего записей: 40 | Зарегистр. 21-08-2013 | Отправлено: 20:03 17-10-2013 | Исправлено: admirator, 02:18 18-10-2013
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru