Доброго времени суток!
Никак не получается запретить доступ в интернет определенным хостам.
Имеем csco asa 5505, настроил 2 интерфейса:
outside xx.xx.xx.xx
inside 192.168.2.1

Конфиг пустой никаких access-list, access-group нет, но ICMP т.е пинг с любой машины не проходил, а в интернет ходят все у кого прописан DNS и geatway на csco.
Пишу правило access-list 1 extended permit icmp any any, вешаю его на access-group 1 in interface outside и пинг начинает работать с любой машины.
Еду дальше пытаюсь запретить хосту доступ в интернет пишу access-list 2 extended deny tcp host 192.168.2.10 any и добавляю его в группу 2 access-group 2 out interface outside, реузльтат инет пропадает у всех. Пробовал сперва добавить правило permit any any толку никакого полый игнор.
Так же пробовал повесить запрет на доступ из интерфейса inside путем внесения access-list 2 extended deny tcp host 192.168.2.10 interface inside и access-group 2 out interface inside, снова либо у всех пропадает либо у всех все есть.
Что за чертов фаервол у которого все разрешено а на запрещения с inside интерфейсом на outside он либо пропускает deny хосты либо закрывает доступ для всех.
Объясните популярно в чем загвоздка, с аппаратами csco я не знаком, теории прочитал много а толку от нее мало там все образно описано и то что написано мне и так ясно. Если есть прям конкретная ссылка на то как это делается то можете отправить но я ее не нашел ни на вашем форуме ни в других местах. Опять же желательно конкретно сказать по конректной причине что мол надо написать 10 строк таких вот.
Спасибо за понимание.

• не получается запретить доступ в интернет конкретному хосту,Николай_kv, 12:01 , 21-Июл-11
  • не получается запретить доступ в интернет конкретному хосту,Vladimir, 12:59 , 21-Июл-11
    • не получается запретить доступ в интернет конкретному хосту,Vladimir, 13:04 , 21-Июл-11
      • не получается запретить доступ в интернет конкретному хосту,OvDP, 13:17 , 21-Июл-11
        • не получается запретить доступ в интернет конкретному хосту,Vladimir, 13:29 , 21-Июл-11
          • не получается запретить доступ в интернет конкретному хосту,Aleks305, 13:42 , 21-Июл-11
            • не получается запретить доступ в интернет конкретному хосту,Vladimir, 13:43 , 21-Июл-11
          • не получается запретить доступ в интернет конкретному хосту,Aleks305, 13:46 , 21-Июл-11
      • не получается запретить доступ в интернет конкретному хосту,Aleks305, 13:39 , 21-Июл-11
        • не получается запретить доступ в интернет конкретному хосту,Vladimir, 13:42 , 21-Июл-11
          • не получается запретить доступ в интернет конкретному хосту,OvDP, 13:50 , 21-Июл-11
          • не получается запретить доступ в интернет конкретному хосту,Vladimir, 13:53 , 21-Июл-11
            • не получается запретить доступ в интернет конкретному хосту,OvDP, 14:15 , 21-Июл-11
              • не получается запретить доступ в интернет конкретному хосту,Vladimir, 14:31 , 21-Июл-11
                • не получается запретить доступ в интернет конкретному хосту,OvDP, 14:52 , 21-Июл-11
                • не получается запретить доступ в интернет конкретному хосту,slayer, 17:11 , 21-Июл-11
          • не получается запретить доступ в интернет конкретному хосту,Aleks305, 13:55 , 21-Июл-11
            • не получается запретить доступ в интернет конкретному хосту,Николай_kv, 15:07 , 21-Июл-11
    • не получается запретить доступ в интернет конкретному хосту,Валентин, 16:18 , 21-Июл-11
      • не получается запретить доступ в интернет конкретному хосту,Vladimir, 17:14 , 21-Июл-11

Перепробовали все - кроме того что нужно. Вешайте правило на inside интерфейс, направление in.
Если запутались в направлениях делайте так - представьте себя внутри коробки все что в неё затекает это in все что вытекает out. :)

> Перепробовали все - кроме того что нужно. Вешайте правило на inside интерфейс,
> направление in.
> Если запутались в направлениях делайте так - представьте себя внутри коробки все
> что в неё затекает это in все что вытекает out. :)

Вешаю access-list 2 extended deny tcp host 192.168.2.10 any
access-group 2 in interface inside

И инет пропадает у всех.

>> Перепробовали все - кроме того что нужно. Вешайте правило на inside интерфейс,
>> направление in.
>> Если запутались в направлениях делайте так - представьте себя внутри коробки все
>> что в неё затекает это in все что вытекает out. :)
> Вешаю access-list 2 extended deny tcp host 192.168.2.10 any
> access-group 2 in interface inside
> И инет пропадает у всех.

Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside тоже закрывает доступ всем хостам.

Еще такая ремарка все делаю в running конфиге и все применяется сразу же, может надо записывать в startup и перегружать csco? Не перегружаю потому что люди работают.

>[оверквотинг удален]
>>> Если запутались в направлениях делайте так - представьте себя внутри коробки все
>>> что в неё затекает это in все что вытекает out. :)
>> Вешаю access-list 2 extended deny tcp host 192.168.2.10 any
>> access-group 2 in interface inside
>> И инет пропадает у всех.
> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside
> тоже закрывает доступ всем хостам.
> Еще такая ремарка все делаю в running конфиге и все применяется сразу
> же, может надо записывать в startup и перегружать csco? Не перегружаю
> потому что люди работают.

может стоить начать с демонстрации конфига? перезагружать не нужно.

>[оверквотинг удален]
>>>> что в неё затекает это in все что вытекает out. :)
>>> Вешаю access-list 2 extended deny tcp host 192.168.2.10 any
>>> access-group 2 in interface inside
>>> И инет пропадает у всех.
>> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside
>> тоже закрывает доступ всем хостам.
>> Еще такая ремарка все делаю в running конфиге и все применяется сразу
>> же, может надо записывать в startup и перегружать csco? Не перегружаю
>> потому что люди работают.
> может стоить начать с демонстрации конфига? перезагружать не нужно.

Тогда мини вопрос как с этой беды скинуть конфиг не через tftp,ftp на на простую флешку (разъемы на asa 5505 есть а mount чет не работает в стандартном виде)

Из возможных интересующих строк вот:
!interface Ethernet0/0
switchport access vlan 2
!
access-list 1 extended permit icmp any any
logging asd informational
mtu inside 1500
mtu outside 1500
icmp unreachable reate-limit 1 burst-size 1
global (outside) 1 interface
nat (inside) 1 192.168.2.0 255.255.255.0
nat (inside) 1 0.0.0.0 0.0.0.0
access-group 1 in interface outside
route outside 0.0.0.0 0.0.0.0 xx.xx.xx.xx 1
dynamic-access-policy-record DfltAccessPolicy (мож дело в ней?)
crypto ipsec security-association lifetime seconds 28800
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept

вот рактически весь конфиг

>[оверквотинг удален]
> access-group 1 in interface outside
> route outside 0.0.0.0 0.0.0.0 xx.xx.xx.xx 1
> dynamic-access-policy-record DfltAccessPolicy (мож дело в ней?)
> crypto ipsec security-association lifetime seconds 28800
> dhcpd auto_config outside
> !
> threat-detection basic-threat
> threat-detection statistics access-list
> no threat-detection statistics tcp-intercept
> вот рактически весь конфиг

а policy-map и service-policy где?

>[оверквотинг удален]
>> route outside 0.0.0.0 0.0.0.0 xx.xx.xx.xx 1
>> dynamic-access-policy-record DfltAccessPolicy (мож дело в ней?)
>> crypto ipsec security-association lifetime seconds 28800
>> dhcpd auto_config outside
>> !
>> threat-detection basic-threat
>> threat-detection statistics access-list
>> no threat-detection statistics tcp-intercept
>> вот рактически весь конфиг
> а policy-map и service-policy где?

Нет там таких строк и близко

>[оверквотинг удален]
>>>> access-group 2 in interface inside
>>>> И инет пропадает у всех.
>>> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside
>>> тоже закрывает доступ всем хостам.
>>> Еще такая ремарка все делаю в running конфиге и все применяется сразу
>>> же, может надо записывать в startup и перегружать csco? Не перегружаю
>>> потому что люди работают.
>> может стоить начать с демонстрации конфига? перезагружать не нужно.
> Тогда мини вопрос как с этой беды скинуть конфиг не через tftp,ftp
> на на простую флешку (разъемы на asa 5505 есть а mount

copy tftp ....
>[оверквотинг удален]
> switchport access vlan 2
> !
> access-list 1 extended permit icmp any any
> logging asd informational
> mtu inside 1500
> mtu outside 1500
> icmp unreachable reate-limit 1 burst-size 1
> global (outside) 1 interface
> nat (inside) 1 192.168.2.0 255.255.255.0
> nat (inside) 1 0.0.0.0 0.0.0.0

зачем эта строчка?
> access-group 1 in interface outside
> route outside 0.0.0.0 0.0.0.0 xx.xx.xx.xx 1
> dynamic-access-policy-record DfltAccessPolicy (мож дело в ней?)

не встречал раньше в дефолтном конфиге
> crypto ipsec security-association lifetime seconds 28800
> dhcpd auto_config outside

это зачем?
> !
> threat-detection basic-threat
> threat-detection statistics access-list
> no threat-detection statistics tcp-intercept
> вот рактически весь конфиг

>[оверквотинг удален]
>>> Если запутались в направлениях делайте так - представьте себя внутри коробки все
>>> что в неё затекает это in все что вытекает out. :)
>> Вешаю access-list 2 extended deny tcp host 192.168.2.10 any
>> access-group 2 in interface inside
>> И инет пропадает у всех.
> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside
> тоже закрывает доступ всем хостам.
> Еще такая ремарка все делаю в running конфиге и все применяется сразу
> же, может надо записывать в startup и перегружать csco? Не перегружаю
> потому что люди работают.

нет,не надо в стартап,он нужен только при перезагрузке cisco.привидите конфиг весь

>[оверквотинг удален]
>>>> что в неё затекает это in все что вытекает out. :)
>>> Вешаю access-list 2 extended deny tcp host 192.168.2.10 any
>>> access-group 2 in interface inside
>>> И инет пропадает у всех.
>> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside
>> тоже закрывает доступ всем хостам.
>> Еще такая ремарка все делаю в running конфиге и все применяется сразу
>> же, может надо записывать в startup и перегружать csco? Не перегружаю
>> потому что люди работают.
> нет,не надо в стартап,он нужен только при перезагрузке cisco.привидите конфиг весь

ну я привел выше практически весь, ну есть там еще строки типа timeout штук 5, multicast-routing, про ssh и telnet но даже мне очевидно что это к делу отношения не имеет (скажите как флешку примонтировать я скину весь)

>[оверквотинг удален]
>>> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside
>>> тоже закрывает доступ всем хостам.
>>> Еще такая ремарка все делаю в running конфиге и все применяется сразу
>>> же, может надо записывать в startup и перегружать csco? Не перегружаю
>>> потому что люди работают.
>> нет,не надо в стартап,он нужен только при перезагрузке cisco.привидите конфиг весь
> ну я привел выше практически весь, ну есть там еще строки типа
> timeout штук 5, multicast-routing, про ssh и telnet но даже мне
> очевидно что это к делу отношения не имеет (скажите как флешку
> примонтировать я скину весь)

уважаемый топикстартер, выложите весь конфиг, если желаете решить свою проблему общими усилиями.

Кароче вот весь конфиг (я же просил mount флешки а не tftp)

ASA Version 8.2(1)
!
hostname xxx
enable password *** encrypted
passwd *** encrypted
multicast-routing
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address xxx.xxx.xxx.xxx 255.255.255.252
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
access-list 1 extended permit icmp any any
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.2.0 255.255.255.0
nat (inside) 1 0.0.0.0 0.0.0.0
access-group 1 in interface outside
route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet 192.168.2.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
!
prompt hostname context
Cryptochecksum:357d5f6f94750c6c6909d8c95fa87e67
: end

Строка access-list 1 extended permit icmp any any и access-group 1 in interface outside для включения пинга, потому что он не работал изначально без этих строк с хостов а мне нужен для теста.

попробуйте так

>[оверквотинг удален]
> interface Ethernet0/4
> !
> interface Ethernet0/5
> !
> interface Ethernet0/6
> !
> interface Ethernet0/7
> !
> ftp mode passive
> access-list 1 extended permit icmp any any

no access-list 1 extended permit icmp any any
!запрещаем хосту 192.168.2.222 куда угодно
access-list inside_access_in extended deny ip host 192.168.2.222 any
!разрешаем остальным
access-list inside_access_in extended permit ip any any

>[оверквотинг удален]
> logging asdm informational
> mtu inside 1500
> mtu outside 1500
> icmp unreachable rate-limit 1 burst-size 1
> no asdm history enable
> arp timeout 14400
> global (outside) 1 interface
> nat (inside) 1 192.168.2.0 255.255.255.0
> nat (inside) 1 0.0.0.0 0.0.0.0
> access-group 1 in interface outside

no access-group 1 in interface outside
access-group inside_access_in in interface inside

>[оверквотинг удален]
> dhcpd auto_config outside
> !
> threat-detection basic-threat
> threat-detection statistics access-list
> no threat-detection statistics tcp-intercept
> !
> !
> prompt hostname context
> Cryptochecksum:357d5f6f94750c6c6909d8c95fa87e67
> : end

>[оверквотинг удален]
>> dhcpd auto_config outside
>> !
>> threat-detection basic-threat
>> threat-detection statistics access-list
>> no threat-detection statistics tcp-intercept
>> !
>> !
>> prompt hostname context
>> Cryptochecksum:357d5f6f94750c6c6909d8c95fa87e67
>> : end

Подтвреждаю работает для этого хоста, но теперь пинг на внешку не работает нигде. Добавление туда же access-list inside_access_in extended permit icmp any any не дало эффекта. (и все таки еще на этой сраной штуке есть usb, как флешку то примонтировать на вскидку никто не знает?)

>[оверквотинг удален]
>>> no threat-detection statistics tcp-intercept
>>> !
>>> !
>>> prompt hostname context
>>> Cryptochecksum:357d5f6f94750c6c6909d8c95fa87e67
>>> : end
> Подтвреждаю работает для этого хоста, но теперь пинг на внешку не работает
> нигде. Добавление туда же access-list inside_access_in extended permit icmp any any
> не дало эффекта. (и все таки еще на этой сраной штуке
> есть usb, как флешку то примонтировать на вскидку никто не знает?)

class-map inspection_default
  match default-inspection-traffic
policy-map global_policy
  class inspection_default
    inspect dns maximum-length 512
    inspect ftp
    inspect h323 h225
    inspect h323 ras
    inspect smtp
    inspect sip
    inspect icmp
service-policy global_policy global

> есть usb, как флешку то примонтировать на вскидку никто не знает?)

Не работает там порт. Бестолку втыкать фшэки.

>[оверквотинг удален]
>>> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside
>>> тоже закрывает доступ всем хостам.
>>> Еще такая ремарка все делаю в running конфиге и все применяется сразу
>>> же, может надо записывать в startup и перегружать csco? Не перегружаю
>>> потому что люди работают.
>> нет,не надо в стартап,он нужен только при перезагрузке cisco.привидите конфиг весь
> ну я привел выше практически весь, ну есть там еще строки типа
> timeout штук 5, multicast-routing, про ssh и telnet но даже мне
> очевидно что это к делу отношения не имеет (скажите как флешку
> примонтировать я скину весь)

через putty подключаетесь?включите логирование  и будет вам конфиг

вот это тема за час разрослась :)

>> Перепробовали все - кроме того что нужно. Вешайте правило на inside интерфейс,
>> направление in.
>> Если запутались в направлениях делайте так - представьте себя внутри коробки все
>> что в неё затекает это in все что вытекает out. :)
> Вешаю access-list 2 extended deny tcp host 192.168.2.10 any
> access-group 2 in interface inside
> И инет пропадает у всех.

access-list 2 extended deny tcp host 192.168.2.10 any
access-list 2 extended permit ip any any
access-group 2 in interface inside

При желании второе правило можно более точно прописать, например:
access-list 2 extended permit ip 192.168.2.0 255.255.255.0 any

Всем спасибо за участие, в принцыпе понял что из за моего самописного правила про icmp отключалось почему то все (только после добавления любого другого правила) странное поведение конечно.