URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18973
[ Назад ]

Исходное сообщение
"Не работает простейший ACL на ASA5510"
Отправлено serg321 , 01-Июн-09 12:32

Получил новую железяку ASA5510, сижу изучаю.
Опыта работы с ASA-ой не было.
Но не получается сделать элементарной вещи, к примеру ограничить полностью весь входящий трафик на WAN интерфейсе. К примеру ниже привел вырезки, пробую ограничить входящие icmp пакеты, но все равно пинговать интерфейс interface Ethernet0/1 (вернее его IP назначенный ему) остается возможным...
Почему не работает элементарные правила не понимаю...
Firewall в таком режиме :
show firewall
Firewall mode: Router
Вот вырезки:
interface Ethernet0/0
nameif LAN
security-level 100
ip address 10.192.162.2 255.255.255.248
!
interface Ethernet0/1
nameif Equant
security-level 0
ip address 212.176.x.x 255.255.255.224
..
access-list 1 extended deny icmp any any log disable
..
access-group 1 in interface Equant
..
route Equant 0.0.0.0 0.0.0.0 212.176.x.x
..
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 10.192.99.1 source LAN
...
class-map inspection_default
match default-inspection-traffic
!
!

p.s.менял именна акцес листов(сейчас 1), пробовал через CLI и через ASDM (куда еще проще) и все равно пинги проходят.

Содержание

Не работает простейший ACL на ASA5510,huk, 12:51 , 01-Июн-09
Не работает простейший ACL на ASA5510,root0, 12:55 , 01-Июн-09
Не работает простейший ACL на ASA5510,Николай, 13:02 , 01-Июн-09
- Не работает простейший ACL на ASA5510,root0, 13:33 , 01-Июн-09
  - Не работает простейший ACL на ASA5510,huk, 13:35 , 01-Июн-09
- Не работает простейший ACL на ASA5510,huk, 13:34 , 01-Июн-09
  - Не работает простейший ACL на ASA5510,mario, 13:56 , 01-Июн-09
    - Не работает простейший ACL на ASA5510,huk, 14:07 , 01-Июн-09
      - Не работает простейший ACL на ASA5510,serg321, 15:03 , 01-Июн-09
        
        Не работает простейший ACL на ASA5510,root0, 16:28 , 01-Июн-09

Сообщения в этом обсуждении

"Не работает простейший ACL на ASA5510"
Отправлено huk , 01-Июн-09 12:51

>[оверквотинг удален]
>ntp server 10.192.99.1 source LAN
>...
>class-map inspection_default
> match default-inspection-traffic
>!
>!
>
>
>p.s.менял именна акцес листов(сейчас 1), пробовал через CLI и через ASDM (куда
>еще проще) и все равно пинги проходят.
Откуда и кого пингуешь?
По умолчанию, весь трафик со стороны интерфейса с большей секьюретью проходит на интерфейс с меньшей секьюретью.

"Не работает простейший ACL на ASA5510"
Отправлено root0 , 01-Июн-09 12:55

conf t
icmp deny any (name interface)

"Не работает простейший ACL на ASA5510"
Отправлено Николай , 01-Июн-09 13:02

>[оверквотинг удален]
>ntp server 10.192.99.1 source LAN
>...
>class-map inspection_default
> match default-inspection-traffic
>!
>!
>
>
>p.s.менял именна акцес листов(сейчас 1), пробовал через CLI и через ASDM (куда
>еще проще) и все равно пинги проходят.
привет, тут вся хитрость в том что имя аксес листа и группы должно быть привязано к интерфейсу.
в твоем примере для interface Ethernet0/1 закрываем ицмп
access-list Equant extended deny icmp any any
access-list Equant extended permit ip any any
access-group Equant in interface Equant
access-group Equant out interface Equant

"Не работает простейший ACL на ASA5510"
Отправлено root0 , 01-Июн-09 13:33

на ASA вообще-то идут отдельные правила
icmp permit/deny host/any interface

"Не работает простейший ACL на ASA5510"
Отправлено huk , 01-Июн-09 13:35

>на ASA вообще-то идут отдельные правила
>
>icmp permit/deny host/any interface
Мозг человеку не съедайте. :)

"Не работает простейший ACL на ASA5510"
Отправлено huk , 01-Июн-09 13:34

>[оверквотинг удален]
>>p.s.менял именна акцес листов(сейчас 1), пробовал через CLI и через ASDM (куда
>>еще проще) и все равно пинги проходят.
>
>привет, тут вся хитрость в том что имя аксес листа и группы
>должно быть привязано к интерфейсу.
>в твоем примере для interface Ethernet0/1 закрываем ицмп
>access-list Equant extended deny icmp any any
>access-list Equant extended permit ip any any
>access-group Equant in interface Equant
>access-group Equant out interface Equant
O_O
Никогда ничего не привязывал.... все работало...

"Не работает простейший ACL на ASA5510"
Отправлено mario , 01-Июн-09 13:56

>[оверквотинг удален]
>>привет, тут вся хитрость в том что имя аксес листа и группы
>>должно быть привязано к интерфейсу.
>>в твоем примере для interface Ethernet0/1 закрываем ицмп
>>access-list Equant extended deny icmp any any
>>access-list Equant extended permit ip any any
>>access-group Equant in interface Equant
>>access-group Equant out interface Equant
>
>O_O
>Никогда ничего не привязывал.... все работало...
наверное ранее через асдм крутили так там автоматом группа вяжется

"Не работает простейший ACL на ASA5510"
Отправлено huk , 01-Июн-09 14:07

>[оверквотинг удален]
>>>в твоем примере для interface Ethernet0/1 закрываем ицмп
>>>access-list Equant extended deny icmp any any
>>>access-list Equant extended permit ip any any
>>>access-group Equant in interface Equant
>>>access-group Equant out interface Equant
>>
>>O_O
>>Никогда ничего не привязывал.... все работало...
>
>наверное ранее через асдм крутили так там автоматом группа вяжется
ASDM'ом не пользуюсь вообще....
увязывать имя аксес-листа с именем интерефейса не обязательно...
в общем читайте официальный мануал... чего Вам объяснять-то....

"Не работает простейший ACL на ASA5510"
Отправлено serg321 , 01-Июн-09 15:03

акцес лист и так был привязан к интерфейсу
access-group 1 in interface Equant

А вот это помогло
icmp deny any inside
У меня нет слов просто!! Точно мозг сломал. Два дня бьюсь.
Получается, что на ASA для icmp надо отельные правила писать ?

"Не работает простейший ACL на ASA5510"
Отправлено root0 , 01-Июн-09 16:28

Для icmp отдельно
Вообще если что не понятно загляните уже в ASDM или религия не позволяет
?????