https://www.opennet.me/openforum/vsluhforumID6/2158.html Читаю как работает ASA, правильно ли я понимаю:<br>1. Получив пакет смотрит идет ли пакет от большего Security level к меньшему (либо они равны)?<br>1.1 Если да то пропускает (не смотря на ACL DENY any any, который всегда есть)?<br>1.2 Если нет то смотрит есть ли разрешающий ACL.<br> https://www.opennet.me/openforum/vsluhforumID6/2158.html#16 Tue, 15 Aug 2017 10:48:20 GMT &gt; Читаю как работает ASA, правильно ли я понимаю: <br>&gt; 1. Получив пакет смотрит идет ли пакет от большего Security level к <br>&gt; меньшему (либо они равны)?<br>&gt; 1.1 Если да то пропускает (не смотря на ACL DENY any any, <br>&gt; который всегда есть)?<br>&gt; 1.2 Если нет то смотрит есть ли разрешающий ACL.<br><br>Если пакет пришёл из inside (по умолчанию 100) в сторону outside (по умолчанию 0), пакет пройдёт инспекцию и последующую передачу, если не указано в ACL иное. Исключение составляют протоколы, для которых политикой не определено инспектирование, пакеты таких протоколов не смогут вернуться обратно. <br><br>ASA является по своей природе statefull firewall, поэтому осуществляет отслеживание и инспекцию протоколов. Если security level будут равны, то по умолчанию трафик между интерфейсами будет блокироваться, что не мешает это поведение переопределить в режиме глобального конфигурирования или в ASDM. <br> https://www.opennet.me/openforum/vsluhforumID6/2158.html#15 Sun, 23 Jul 2017 15:18:35 GMT &gt;&gt; Не смеши. ASA кстати унитри имеет линакс, так для спраки.<br>&gt; А у мня на Линухе, в KVM, Windows 10 работает, и чо? <br><br>Сочувствую.<br> https://www.opennet.me/openforum/vsluhforumID6/2158.html#14 Sun, 23 Jul 2017 01:35:21 GMT &gt; Не смеши. ASA кстати унитри имеет линакс, так для спраки.<br><br>А у мня на Линухе, в KVM, Windows 10 работает, и чо? <br> https://www.opennet.me/openforum/vsluhforumID6/2158.html#13 Wed, 31 May 2017 18:38:25 GMT &gt;&gt; а не кастрированная линакс-версия оного.<br>&gt; Твая циска умеет, ну для начала скажем -j MIRROR/CHAOS/GEOIP, про хардкор типа <br>&gt; bpf я уж молчу.<br>&gt; ASA - игрушка для секретарш, которые по совместительству сисадминшы.<br>&gt; Подходят чтоб объединить два офеса на одну вендовую шару или банить однокласники. <br><br>Не смеши. ASA кстати унитри имеет линакс, так для спраки. Просто из него выкинули неполноценные и ненадежные реализации фарвола типа ipfilter и сделали свое, надежное и гибкое решение.<br> https://www.opennet.me/openforum/vsluhforumID6/2158.html#12 Wed, 31 May 2017 13:18:58 GMT &gt; а не кастрированная линакс-версия оного.<br><br>Твая циска умеет, ну для начала скажем -j MIRROR/CHAOS/GEOIP, про хардкор типа bpf я уж молчу. <br><br>ASA - игрушка для секретарш, которые по совместительству сисадминшы.<br>Подходят чтоб объединить два офеса на одну вендовую шару или банить однокласники.<br> https://www.opennet.me/openforum/vsluhforumID6/2158.html#11 Sat, 27 May 2017 03:38:31 GMT &gt;&gt;&gt;&gt;&gt;&gt; Если трансляции нет - пакет сразу дропается.<br>&gt;&gt;&gt;&gt; то есть если есть две локальные сети на ASA, которые она может <br>&gt;&gt;&gt;&gt; маршрутизировать между собой, то доступа не будет между локальными сетями, пока <br>&gt;&gt;&gt;&gt; не настроишь NAT для этих сетей?<br>&gt;&gt;&gt; ASA НЕ мершрутизатор :) Да именно так. И забуть про "локальные" и <br>&gt;&gt;&gt; "глобальные" сети - не важно какие, они в общем равноценные. Это <br>&gt;&gt;&gt; полноценный NAT, а не кастрированная линакс-версия оного.<br>&gt;&gt; вот не могу я тут с вами согласиться.<br>&gt; Да ладно! И в каком же месте не можете?<br><br>что между локальными сетями, если у вас к ASA подключено две сети, надо настраивать NAT. ASA может и подразумевает там свой NAT, но специально самому не надо настраивать.<br> https://www.opennet.me/openforum/vsluhforumID6/2158.html#10 Fri, 26 May 2017 18:32:42 GMT &gt;&gt;&gt;&gt;&gt; Если трансляции нет - пакет сразу дропается.<br>&gt;&gt;&gt; то есть если есть две локальные сети на ASA, которые она может <br>&gt;&gt;&gt; маршрутизировать между собой, то доступа не будет между локальными сетями, пока <br>&gt;&gt;&gt; не настроишь NAT для этих сетей?<br>&gt;&gt; ASA НЕ мершрутизатор :) Да именно так. И забуть про "локальные" и <br>&gt;&gt; "глобальные" сети - не важно какие, они в общем равноценные. Это <br>&gt;&gt; полноценный NAT, а не кастрированная линакс-версия оного.<br>&gt; вот не могу я тут с вами согласиться.<br><br>Да ладно! И в каком же месте не можете?<br> https://www.opennet.me/openforum/vsluhforumID6/2158.html#9 Fri, 26 May 2017 18:01:51 GMT &gt;&gt;&gt;&gt; Если трансляции нет - пакет сразу дропается.<br>&gt;&gt; то есть если есть две локальные сети на ASA, которые она может <br>&gt;&gt; маршрутизировать между собой, то доступа не будет между локальными сетями, пока <br>&gt;&gt; не настроишь NAT для этих сетей?<br>&gt; ASA НЕ мершрутизатор :) Да именно так. И забуть про "локальные" и <br>&gt; "глобальные" сети - не важно какие, они в общем равноценные. Это <br>&gt; полноценный NAT, а не кастрированная линакс-версия оного.<br><br>вот не могу я тут с вами согласиться.<br> https://www.opennet.me/openforum/vsluhforumID6/2158.html#8 Thu, 25 May 2017 14:15:37 GMT &gt;&gt; ASA НЕ мершрутизатор :) Да именно так. И забуть про "локальные" и <br>&gt;&gt; "глобальные" сети - не важно какие, они в общем равноценные. Это <br>&gt;&gt; полноценный NAT, а не кастрированная линакс-версия оного.<br>&gt; А что, NAT это обязательное условие?<br><br>Для ASA - обязательное. Ну как бы объяснить...<br>В маршрутизаторах есть процесс forward, который пересылает пакеты мужду интерфейсами, опираясь на таблицу маршрутизации.<br>В коммутаторах соотвествующий процесс использует таблицу коммутации<br>А в ASA этот же процесс пересылки пакетов использует таблицу трансляций, чтоб понять куда какой пакет направить. :)<br>