URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18126
[ Назад ]

Исходное сообщение
"Нет доступа по телнет"
Отправлено dmitryp , 29-Янв-09 16:05

У меня Cisco ASA 5510
Из инета пингую ее, но доступа по телнет нет!
ciscoasa# sh run
: Saved
:
ASA Version 8.0(3)6
.
access-list 100 extended permit tcp any any
access-list 100 extended permit icmp any any
access-list 100 extended permit ip any any
access-group 100 in interface outside
Хотя должно!
Помогите разобраться!!!

Содержание

Нет доступа по телнет,ilya, 13:53 , 30-Янв-09
- Нет доступа по телнет,sh_, 15:20 , 30-Янв-09
  - Нет доступа по телнет,ilya, 16:33 , 30-Янв-09
    - Нет доступа по телнет,gagner, 18:16 , 01-Фев-09
      - Нет доступа по телнет,mario23, 09:06 , 02-Фев-09
        
        Нет доступа по телнет,ilya, 09:59 , 02-Фев-09
        
        Нет доступа по телнет,mario23, 10:15 , 02-Фев-09
        
        Нет доступа по телнет,ilya, 10:44 , 02-Фев-09
        
        Нет доступа по телнет,mario23, 11:02 , 02-Фев-09
        
        Нет доступа по телнет,gagner, 18:47 , 03-Фев-09

Сообщения в этом обсуждении

"Нет доступа по телнет"
Отправлено ilya , 30-Янв-09 13:53

>[оверквотинг удален]
>:
>ASA Version 8.0(3)6
>.
>access-list 100 extended permit tcp any any
>access-list 100 extended permit icmp any any
>access-list 100 extended permit ip any any
>access-group 100 in interface outside
>
>Хотя должно!
>Помогите разобраться!!!
и не будет. на аутсайд интерфейс телнетом попасть низя. Это фича.

"Нет доступа по телнет"
Отправлено sh_ , 30-Янв-09 15:20

Поменяйте на outside security-level...

"Нет доступа по телнет"
Отправлено ilya , 30-Янв-09 16:33

>Поменяйте на outside security-level...
угу. на 100й.
да? ;)

"Нет доступа по телнет"
Отправлено gagner , 01-Фев-09 18:16

>>Поменяйте на outside security-level...
Да ну нафиг. ssh откройте, причем в ACL стоит ограничить хост с которого можно стучаться. И пинги закройте. Аса - хороший фаервол, а не тупо-рутер.

"Нет доступа по телнет"
Отправлено mario23 , 02-Фев-09 09:06

>>>Поменяйте на outside security-level...
>
>Да ну нафиг. ssh откройте, причем в ACL стоит ограничить хост с
>которого можно стучаться. И пинги закройте. Аса - хороший фаервол, а
>не тупо-рутер.
в глобальном конфиге пропишите
telnet ваш ip с которого цепляетесь 255.255.255.255 outside

"Нет доступа по телнет"
Отправлено ilya , 02-Фев-09 09:59

>>>>Поменяйте на outside security-level...
>>
>>Да ну нафиг. ssh откройте, причем в ACL стоит ограничить хост с
>>которого можно стучаться. И пинги закройте. Аса - хороший фаервол, а
>>не тупо-рутер.
>
>в глобальном конфиге пропишите
>telnet ваш ip с которого цепляетесь 255.255.255.255 outside
http://www.cisco.com/en/US/docs/security/asa/asa80/configura...
Allowing Telnet Access
The security appliance allows Telnet connections to the security appliance for management purposes. You cannot use Telnet to the lowest security interface unless you use Telnet inside an IPSec tunnel.
так что нужно писать
ssh ваш ip с которого цепляетесь 255.255.255.255 outside

"Нет доступа по телнет"
Отправлено mario23 , 02-Фев-09 10:15

>[оверквотинг удален]
>http://www.cisco.com/en/US/docs/security/asa/asa80/configura...
>
>Allowing Telnet Access
>
>The security appliance allows Telnet connections to the security appliance for management
>purposes. You cannot use Telnet to the lowest security interface unless
>you use Telnet inside an IPSec tunnel.
>
>так что нужно писать
>ssh ваш ip с которого цепляетесь 255.255.255.255 outside
то что ssh нужно использовать это понятно. только вот топикстартер хочет телнет я ему и написал как телнет разрешить.
про безопасность тут разговора нет.
а outside может снаходится внутри лан, соответсвенно и безопасностью можно принебречь.

"Нет доступа по телнет"
Отправлено ilya , 02-Фев-09 10:44

>[оверквотинг удален]
>>The security appliance allows Telnet connections to the security appliance for management
>>purposes. You cannot use Telnet to the lowest security interface unless
>>you use Telnet inside an IPSec tunnel.
>>
>>так что нужно писать
>>ssh ваш ip с которого цепляетесь 255.255.255.255 outside
>
>то что ssh нужно использовать это понятно. только вот топикстартер хочет телнет
>я ему и написал как телнет разрешить.
>про безопасность тут разговора нет.
вы попробуйте сами разрешить телнет снаружи. Т.е. команда такая вот есть, но будет ли доступ по телнету - проверьте плз. Получите интересный результат.
>а outside может снаходится внутри лан, соответсвенно и безопасностью можно принебречь.
не стоит никогда ничем принебрегать. Тем более безопасностью. Лучше иметь немножко паранои чем потом много гемороя ;)

"Нет доступа по телнет"
Отправлено mario23 , 02-Фев-09 11:02

>[оверквотинг удален]
>>про безопасность тут разговора нет.
>
>вы попробуйте сами разрешить телнет снаружи. Т.е. команда такая вот есть, но
>будет ли доступ по телнету - проверьте плз. Получите интересный результат.
>
>
>>а outside может снаходится внутри лан, соответсвенно и безопасностью можно принебречь.
>
>не стоит никогда ничем принебрегать. Тем более безопасностью. Лучше иметь немножко паранои
>чем потом много гемороя ;)
есть случаи когда на безопасность пополам ;)(в ней просто нет необходимости )
вам примеры привести ? нет флуду стоп :)

"Нет доступа по телнет"
Отправлено gagner , 03-Фев-09 18:47

>есть случаи когда на безопасность пополам ;)(в ней просто нет необходимости )
>вам примеры привести ? нет флуду стоп :)
Если человеку купили асу - значит от него хотят определенного уровня безопасности. Если он при этом открывает телнет и пишет такие ACL, лучшей помощью и наукой будет объяснение, что его желание - придурь. Имхо. А флуд действительно бесполезен. ))