Добрый день, господа.

У меня есть 2 вопроса по работе ASA 5510.

1) ASA подключена к двум провайдерам, можно ли на ней определить правила, по которым определенные пакеты будут направлены в определенного провайдера? на cisco роутерах это достигается с помощью route-map, но вот на ASA он какой-то коцанный и подходит по моему только для протоколов дин. маршрутизации...

2) На ASA необходимо реализовать возможность запрещать запросы на отсылку из внутренней сети наружу файлов по FTP с определенных клиентов на определенные сервера. Я нашел как там можно с помощью сервисных политик (глобально или на интерфейс) наложить политику запрета команд STOR и STOU, но они действуют на все запросы, а не на определенных клиентов. Можно ли на ASA рубить комынды STOR и STOU только с определенных клиентов на определенные сервера?

заранее благодарю.

• Cisco ASA 5510: возможность route-map и проксирование FTP,dxer, 21:04 , 04-Июн-08
  • Cisco ASA 5510: возможность route-map и проксирование FTP,lenny, 14:30 , 05-Июн-08
    • Cisco ASA 5510: возможность route-map и проксирование FTP,dxer, 14:54 , 05-Июн-08
      • Cisco ASA 5510: возможность route-map и проксирование FTP,lenny, 11:13 , 06-Июн-08
        • Cisco ASA 5510: возможность route-map и проксирование FTP,dxer, 12:31 , 06-Июн-08
          • Cisco ASA 5510: возможность route-map и проксирование FTP,lenny, 14:18 , 06-Июн-08
            • Cisco ASA 5510: возможность route-map и проксирование FTP,dxer, 14:22 , 06-Июн-08
              • Cisco ASA 5510: возможность route-map и проксирование FTP,Леонид, 16:26 , 20-Авг-08
  • Cisco ASA 5510: возможность route-map и проксирование FTP,minuser, 12:00 , 12-Фев-16

>[оверквотинг удален]
>
>2) На ASA необходимо реализовать возможность запрещать запросы на отсылку из внутренней
>сети наружу файлов по FTP с определенных клиентов на определенные сервера.
>Я нашел как там можно с помощью сервисных политик (глобально или
>на интерфейс) наложить политику запрета команд STOR и STOU, но они
>действуют на все запросы, а не на определенных клиентов. Можно ли
>на ASA рубить комынды STOR и STOU только с определенных клиентов
>на определенные сервера?
>
>заранее благодарю.

1) К сожалению нет. Ставить по технологиям циски перед АСОй ставить маршрутизатор для этих и многих других целей.

2) Можно с помощью policy-map с сlass-map + ACL кому и чего инспектировать.

спасибо за ответ!

по первому вопросу я именно так и понял уже.

>2) Можно с помощью policy-map с сlass-map + ACL кому и чего
>инспектировать.

вот именно это то и не получается. потому что я пробовал делать через ASDM, там создавал Inspect Map для FTP, где указал что создаётся класс для request-command PUT и STOU и по match надо делать reset. Всё замечательно работает, но для всех. Через ASDM вставить в класс или Inspect Map для FTP access-list по ip адресам не получается. Пробовал руками - там тоже консоль просто не даёт в класс, который type inspect ftp забивать access-listы...

:(

пробовал гуглить - ни одного примера не нашёл :(

буду очень благодарен за кратенький рабочий примерчик.

>[оверквотинг удален]
>делать reset. Всё замечательно работает, но для всех. Через ASDM вставить
>в класс или Inspect Map для FTP access-list по ip адресам
>не получается. Пробовал руками - там тоже консоль просто не даёт
>в класс, который type inspect ftp забивать access-listы...
>
>:(
>
>пробовал гуглить - ни одного примера не нашёл :(
>
>буду очень благодарен за кратенький рабочий примерчик.

Ну вот приблизительно только для SMTP инспекции (моя задача была НЕ испектировать SMTP трафик в корпоративной распределенной сети... (лучше делайте через CLI)

access-list traffic_for_INSPECT remark Traffic to-be-Inspected by ASA
access-list traffic_for_INSPECT extended deny tcp 172.29.0.0 255.255.0.0 172.29.0.0 255.255.0.0 eq smtp
access-list traffic_for_INSPECT extended deny tcp host 172.29.1.5 host 172.28.1.2 eq smtp
access-list traffic_for_INSPECT extended deny tcp host 172.29.1.6 host 172.28.1.2 eq smtp
access-list traffic_for_INSPECT extended deny tcp host 172.29.1.14 host 172.28.1.2 eq smtp
access-list traffic_for_INSPECT extended deny tcp host 10.0.0.2 host 172.29.1.5 eq smtp
access-list traffic_for_INSPECT extended deny tcp host 10.0.0.2 host 172.29.1.6 eq smtp
access-list traffic_for_INSPECT extended deny tcp host 10.0.0.2 host 172.29.1.14 eq smtp
access-list traffic_for_INSPECT extended permit ip any any

class-map inspection_default
match access-list traffic_for_INSPECT
match default-inspection-traffic

!
policy-map type inspect dns DNS-SRT
description SRT DNS policy-map
parameters
  message-length maximum 1024
policy-map type inspect esmtp SMTP-SRT
description SRT ESMTP policy-map
parameters
  special-character action drop-connection log
match cmd line length gt 512
  drop-connection log
match sender-address length gt 320
  drop-connection log
match ehlo-reply-parameter others
  mask
match MIME filename length gt 255
  drop-connection log
match invalid-recipients count gt 1
  drop-connection log
match cmd RCPT count gt 100
  drop-connection log
policy-map global_policy
class inspection_default
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect icmp
  inspect pptp
  inspect snmp
  inspect http
  inspect dns DNS-SRT
  inspect esmtp SMTP-SRT

почитал ваш пример, но что то не очень понял. поправьте если я не прав.
У вас получается есть люди которые вообще не ходят на почту (которым deny в access-list) и те которые permit, но для них наклыдваются ограничения policy map SMTP-SRT. Так?

а как же быть с теми для тех, кому надо разрешить всё без ограничений?

>почитал ваш пример, но что то не очень понял. поправьте если я
>не прав.
>У вас получается есть люди которые вообще не ходят на почту (которым
>deny в access-list) и те которые permit, но для них наклыдваются
>ограничения policy map SMTP-SRT. Так?
>
>а как же быть с теми для тех, кому надо разрешить всё
>без ограничений?

Да этот АЦЛ не имеет ничего общего с "ходят и не ходят" этот АЦЛ для инспектирования ТОЛЬКО, он показывает, что я не испектирую почтовую сессию для хостов кому ДЕНАЙ. Остальные попадают под инспект.

Вот те, кому всё надО без ограничений, попадают в DENY правило у тебя для ftp inspectирования.

спасибо, за совет, вот что у меня вышло:

Я сделал так,

access-list ftp_ro extended deny tcp host 192.168.1.1 any eq ftp
access-list ftp_ro extended permit ip any any

class-map inspection_default
match access-list ftp_ro
match default-inspection-traffic
!
policy-map type inspect ftp FTP_RO
parameters
match request-command put
  reset

policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ftp

В такой конфигурации если пробовать с компа 192.168.1.1 (для которого отдельным правилом разрешен доступ по FTP через АСУ) то логин на FTP сервер проходит успешно, а вот любая команда (dir, ls, get, put) вызывает разрыв соединения. Если пробовать с компа 192.168.1.2 для которого тоже разрешен протокол FTP) то всё работает нормально, все команды FTP разрешены.

я пробовал делать и вот так:

policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ftp strict FTP_RO

в этом случае если я захожу на FTP сервер с 192.168.1.2 у меня не работает PUT, а вот если я захожу с компа 192.168.1.1 то после успешного логина на FTP сервер любая команда вызывает reset.

где я не прав?

>[оверквотинг удален]
>  inspect netbios
>  inspect tftp
>  inspect ftp strict FTP_RO
>
>в этом случае если я захожу на FTP сервер с 192.168.1.2 у
>меня не работает PUT, а вот если я захожу с компа
>192.168.1.1 то после успешного логина на FTP сервер любая команда вызывает
>reset.
>
>где я не прав?

Всё правильно у тебя.
Через ASDM посмотри чего в логах внимательно понаблюдай.
Где-то косячок, который я не вижу.

прошу прощения что не по теме, но стоит именно эта модель циски.

есть вопрос: необходимо сделать проброс портов через НАТ, но исходя из прочитанных материалов через АСДМ сделать этого нельзя вроде как. поэтому хотелось бы спросить помощи у знающих, так как с консолью релаьно на ВЫ :(
если сделать вот так: ip nat inside source static UDP 10.0.6.113 51017 interface BVI1 51017
т оесть пробросить порт 51017 дл внутреннего айпишника 10.0.6.113 на интерфейсе BVI1, но тут вопрос интерфейс BVI1 и этот пример с другого сайта для другой модели циско. и у меня на ней есть 4 интерфейса
Ethernet0/0 "outside"
Ethernet0/1 "DMZ"
Ethernet0/2 "inside"
последний менеджерский он для этого не нужен

так вот, сделать нужно так с учетом выше сказанного?
ip nat inside source static UDP 10.0.6.113 51017 interface Ethernet0/0 51017
или
ip nat inside source static UDP 10.0.6.113 51017 interface outside 51017

буду сильно благодарен за ответ.

>[оверквотинг удален]
>>сети наружу файлов по FTP с определенных клиентов на определенные сервера.
>>Я нашел как там можно с помощью сервисных политик (глобально или
>>на интерфейс) наложить политику запрета команд STOR и STOU, но они
>>действуют на все запросы, а не на определенных клиентов. Можно ли
>>на ASA рубить комынды STOR и STOU только с определенных клиентов
>>на определенные сервера?
>>
>>заранее благодарю.
> 1) К сожалению нет. Ставить по технологиям циски перед АСОй ставить маршрутизатор
> для этих и многих других целей.

Уже к счастью - да.
Начиная с прошивки 9.4 реализован PBR