URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1236
[ Назад ]

Исходное сообщение
"ASA 5505 проброс с INSUDE в DMZ"
Отправлено Anubi , 21-Фев-14 11:46

Доброго всем.Я новичек в ios, по сему прошу вашей помощи. Пробовал по мануалам из инета, ничего не выходит.
Есть asa 5505 c base licens. Есть задача настроить DMZ, при чем сделать возможным доступ из inside в DMZ. DMZ должна ходить в инет.
Вот мой конфиг:
!
interface Vlan1
nameif inside
security-level 100
ip address 172.17.1.10 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 192.168.12.20 255.255.255.0
!
interface Vlan12
no forward interface Vlan1
nameif dmz
security-level 50
ip address 172.17.2.10 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
switchport access vlan 12
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
clock timezone EEST 2
clock summer-time EEDT recurring last Sun Mar 3:00 last Sun Oct 4:00
dns server-group DefaultDNS
domain-name default
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
object-group service ra tcp-udp
port-object eq 4899
object-group service DM_INLINE_TCP_1 tcp
access-list inside_access_in remark DNS
access-list inside_access_in extended permit 53 any any
access-list inside_access_in remark ICMP
access-list inside_access_in extended permit icmp any any
access-list inside_access_in remark inside to any
access-list inside_access_in extended permit ip 172.17.1.0 255.255.255.0 any
access-list inside_access_in extended permit ip 192.168.12.0 255.255.255.0 any
access-list inside_access_in extended permit ip any any
access-list inside_access_in extended permit ip 172.17.2.0 255.255.255.0 any
access-list outside_access_in extended permit object-group TCPUDP 192.168.12.0 255.255.255.0 host 172.17.1.100 eq www
access-list outside_access_in extended permit tcp 192.168.12.0 255.255.255.0 host 172.17.1.2 object-group MB
access-list outside_access_in extended permit object-group TCPUDP 192.168.0.0 255.255.252.0 host 172.17.1.100 eq www
access-list outside_access_in extended permit tcp 192.168.12.0 255.255.255.0 host 172.17.1.100 eq ldap
access-list outside_access_in extended permit tcp 192.168.0.0 255.255.252.0 host 172.17.1.2 object-group MB
access-list outside_access_in extended permit tcp 192.168.0.0 255.255.252.0 host 172.17.1.100 eq ldap
access-list outside_access_in extended permit tcp any host 172.17.1.2 object-group MB
access-list outside_access_in extended permit icmp any any log disable
access-list outside_access_in extended permit object-group TCPUDP object-group ru object-group cu object-group ra log disable
access-list outside_access_in extended permit ip any host 172.17.1.100 log disable
access-list outside_access_in extended permit ip host 192.168.1.1 host cc
access-list dmz_access_in extended permit tcp any host MB-CC-New object-group DM_INLINE_TCP_1
access-list dmz_access_in extended permit tcp any host LDAP-New eq ldap
pager lines 24
logging enable
logging timestamp
logging trap informational
logging asdm informational
logging facility 22
logging host inside 172.17.1.2
logging debug-trace
logging permit-hostdown
logging class auth trap informational
logging class bridge trap informational
logging class config trap informational
logging class ha trap informational
logging class ids trap informational
logging class ip trap informational
logging class np trap informational
logging class session trap informational
logging class sys trap informational
logging class ca trap informational
logging class email trap informational
logging class nac trap informational
logging class eapoudp trap informational
logging class eap trap informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
access-group dmz_access_in in interface dmz
route outside 0.0.0.0 0.0.0.0 192.168.12.98 1

Содержание

ASA 5505 проброс с INSUDE в DMZ,alecx_, 12:04 , 21-Фев-14
- ASA 5505 проброс с INSUDE в DMZ,Anubi, 12:25 , 21-Фев-14
  - ASA 5505 проброс с INSUDE в DMZ,Anubi, 12:50 , 21-Фев-14
    - ASA 5505 проброс с INSUDE в DMZ,Тимофей, 15:20 , 21-Фев-14
      - ASA 5505 проброс с INSUDE в DMZ,Anubi, 15:34 , 21-Фев-14

Сообщения в этом обсуждении

"ASA 5505 проброс с INSUDE в DMZ"
Отправлено alecx_ , 21-Фев-14 12:04

при наличии access-list inside_access_in extended permit ip any any все остальное не имеет смысла.
Обычно делают:
- OUTSIDE-IN (лист доступа из внешних сетей)
- OUTSIDE-OUT (лист доступа во внешние сети если хотите это контролировать)
- DMZ-OUT (лист доступа на выход их сети DMZ во вне и в inside)
Доступ из inside в dmz открыт по дефолту из-за разницы в security-level (из большего в меньший).

Для понимания работы логики ASA есть в ней классная команда packet-tracert

"ASA 5505 проброс с INSUDE в DMZ"
Отправлено Anubi , 21-Фев-14 12:25

> при наличии access-list inside_access_in extended permit ip any any все остальное
> не имеет смысла.
> Обычно делают:
> - OUTSIDE-IN (лист доступа из внешних сетей)
> - OUTSIDE-OUT (лист доступа во внешние сети если хотите это контролировать)
> - DMZ-OUT (лист доступа на выход их сети DMZ во вне и
> в inside)
> Доступ из inside в dmz открыт по дефолту из-за разницы в security-level
> (из большего в меньший).
> Для понимания работы логики ASA есть в ней классная команда packet-tracert
permit ip any any добавил что бы исключить грабли с фаерволом.
> Доступ из inside в dmz открыт по дефолту из-за разницы в security-level
> (из большего в меньший).
Не работает.(( не пингую я иp inside хост в DMZ.
Подскажите плиз чего делать?

"ASA 5505 проброс с INSUDE в DMZ"
Отправлено Anubi , 21-Фев-14 12:50

переделал так, но все равно не работает пинг из inside в dmz. Прошу не пинать, в цысках новичек. Подскажите где грабли? :(

!
interface Vlan1
nameif inside
security-level 100
ip address 172.17.1.10 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 192.168.12.20 255.255.255.0
!
interface Vlan12
no forward interface Vlan1
nameif dmz
security-level 50
ip address 172.17.2.10 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
switchport access vlan 12
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
clock timezone EEST 2
clock summer-time EEDT recurring last Sun Mar 3:00 last Sun Oct 4:00
dns server-group DefaultDNS
domain-name default
same-security-traffic permit intra-interface
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
object-group service ra tcp-udp
port-object eq 4899
access-list inside_access_in remark DNS
access-list inside_access_in extended permit 53 any any
access-list inside_access_in remark ICMP
access-list inside_access_in extended permit icmp any any log debugging
access-list inside_access_in remark inside to any
access-list inside_access_in extended permit ip 172.17.1.0 255.255.255.0 any
access-list inside_access_in extended permit ip 192.168.12.0 255.255.255.0 any
access-list inside_access_in extended permit ip any any
access-list outside_access_in extended permit object-group TCPUDP 192.168.12.0 255.255.255.0 host 172.17.1.100 eq www
access-list outside_access_in extended permit tcp 192.168.12.0 255.255.255.0 host 172.17.1.2 object-group MB
access-list outside_access_in extended permit object-group TCPUDP 192.168.0.0 255.255.252.0 host 172.17.1.100 eq www
access-list outside_access_in extended permit tcp 192.168.12.0 255.255.255.0 host 172.17.1.100 eq ldap
access-list outside_access_in extended permit tcp 192.168.0.0 255.255.252.0 host 172.17.1.2 object-group MB
access-list outside_access_in extended permit tcp 192.168.0.0 255.255.252.0 host 172.17.1.100 eq ldap
access-list outside_access_in extended permit tcp any host 172.17.1.2 object-group MB
access-list outside_access_in extended permit icmp any any log disable
access-list outside_access_in extended permit object-group TCPUDP object-group ru object-group cu object-group ra log disable
access-list outside_access_in extended permit ip any host 172.17.1.100 log disable
access-list outside_access_in extended permit ip host 192.168.1.1 host cc
access-list dmz_access_in extended permit ip any any log debugging
pager lines 24
logging enable
logging timestamp
logging trap informational
logging asdm informational
logging facility 22
logging host inside 172.17.1.2
logging debug-trace
logging permit-hostdown
logging class auth trap informational
logging class bridge trap informational
logging class config trap informational
logging class ha trap informational
logging class ids trap informational
logging class ip trap informational
logging class np trap informational
logging class session trap informational
logging class sys trap informational
logging class ca trap informational
logging class email trap informational
logging class nac trap informational
logging class eapoudp trap informational
logging class eap trap informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
no asdm history enable
arp timeout 14400
global (dmz) 1 interface
nat (dmz) 1 172.17.2.0 255.255.255.0
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
access-group dmz_access_in in interface dmz
route outside 0.0.0.0 0.0.0.0 192.168.12.98 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
aaa authentication enable console LOCAL
aaa authentication http console LOCAL
aaa authentication serial console LOCAL
aaa authentication ssh console LOCAL
aaa authorization command LOCAL
aaa local authentication attempts max-fail 3
http server enable
http 172.17.1.101 255.255.255.255 inside
http ian 255.255.255.255 outside
http 172.17.1.10 255.255.255.255 inside
http su 255.255.255.255 outside
http sosna 255.255.255.255 outside
no snmp-server location
no snmp-server contact
class-map type inspect http match-all asdm_medium_security_methods
match not request method head
match not request method post
match not request method get
class-map type inspect http match-all asdm_high_security_methods
match not request method head
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map type inspect http htttp_inspect
parameters
  protocol-violation action drop-connection
class asdm_medium_security_methods
  drop-connection
!
prompt hostname context
Cryptochecksum:162d459a08301a3cac465267c02771d0
: end

"ASA 5505 проброс с INSUDE в DMZ"
Отправлено Тимофей , 21-Фев-14 15:20

> переделал так, но все равно не работает пинг из inside в dmz.
> Прошу не пинать, в цысках новичек. Подскажите где грабли? :(
Естественно не будет работать у вас маршрутов нет.
Один только дефолт
route outside 0.0.0.0 0.0.0.0 192.168.12.98 1

"ASA 5505 проброс с INSUDE в DMZ"
Отправлено Anubi , 21-Фев-14 15:34

>> переделал так, но все равно не работает пинг из inside в dmz.
>> Прошу не пинать, в цысках новичек. Подскажите где грабли? :(
> Естественно не будет работать у вас маршрутов нет.
> Один только дефолт
> route outside 0.0.0.0 0.0.0.0 192.168.12.98 1
спасибо. разобрался))