The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Проблема настройки Cisco ASA\ Access Lists, !*! Ivan19920612, 13-Окт-16, 12:34  [смотреть все]
ASA Version 7.2(4)
!
hostname asa-test
domain-name test.test.com
enable password admin
names
dns-guard
!
interface Vlan1
shutdown
nameif dmz
security-level 50
no ip address
!
interface Vlan5
nameif inside
security-level 0
ip address 192.168.5.1 255.255.252.0
!
interface Vlan6
nameif outside
security-level 10
ip address 192.168.10.2 255.255.252.0
!
interface Ethernet0/0
description Inside
switchport access vlan 5
switchport trunk allowed vlan 6
switchport trunk native vlan 6
switchport mode trunk
!
interface Ethernet0/1
switchport access vlan 2
!
interface Ethernet0/2
shutdown
!
interface Ethernet0/3
shutdown
!
interface Ethernet0/4
shutdown
!
interface Ethernet0/5
switchport access vlan 3
!
interface Ethernet0/6
switchport access vlan 5
!
interface Ethernet0/7
description Inside
switchport trunk allowed vlan 1,5
switchport trunk native vlan 5
switchport mode trunk
!
banner exec ########################################
banner exec This is a ASA for TESTS #
banner exec ########################################
boot system disk0:/asa724-k8.bin
ftp mode passive
clock timezone MSK/MSD 4
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name test.test.com
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group network EXTERNAL
network-object host 8.8.8.8
network-object host 127.92.65.25

object-group network Clients
network-object 192.168.5.0 255.255.255.0

access-list inside_access_in extended permit tcp object-group Clients object-group EXTERNAL
access-list inside_access_out extended permit tcp object-group Clients object-group EXTERNAL
access-list outside_access_out extended permit tcp object-group Clients object-group EXTERNAL
access-list proxyp extended permit ip any any
access-list ADMIN extended permit ip 192.168.5.0 255.255.255.0 any
access-list outside_access_in extended permit tcp object-group Clients object-group EXTERNAL
pager lines 24
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 0.0.0.0 0.0.0.0
access-group inside_access_in in interface inside
access-group inside_access_out out interface inside
access-group outside_access_in in interface outside
access-group outside_access_out out interface outside
http server enable
http 192.168.5.0 255.255.255.0 inside
dhcpd address 192.168.5.10-192.168.5.250 inside

У меня вопрос. как правильно настроить акцесс листы, чтобы из подсети 192.168.5.1/ 255,255,252,0  (Clients)  разрешено было  ходить только на два адреса из группы object-group network EXTERNAL
network-object host 8.8.8.8
network-object host 127.92.65.25

И наоборот.
Я уже третий день копаюсь.
Помогите пожалуйста!
Спасибо!

Ответить | Сообщить модератору
  • Проблема настройки Cisco ASA\ Access Lists, !*! crash, 04:32 , 15-Окт-16 (1)
    >[оверквотинг удален]
    > !
    > interface Vlan5
    >  nameif inside
    >  security-level 0
    >  ip address 192.168.5.1 255.255.252.0
    > !
    > interface Vlan6
    >  nameif outside
    >  security-level 10
    >  ip address 192.168.10.2 255.255.252.0

    Вообще обычно security-level 0 это у outside, а inside обычно 100.

    > same-security-traffic permit inter-interface
    > same-security-traffic permit intra-interface

    у вас нет на интерфейсах одинакового security-level, так что эти команды не нужны


    > object-group network EXTERNAL
    >  network-object host 8.8.8.8
    >  network-object host 127.92.65.25
    > object-group network Clients
    >  network-object 192.168.5.0 255.255.255.0
    > access-list inside_access_out extended permit tcp object-group Clients object-group
    > EXTERNAL
    > access-list outside_access_out extended permit tcp object-group Clients object-group
    > EXTERNAL

    вообще не ясен скрытый смысл данных правил, тем более что для inside оно написано не правильно.

    > access-list outside_access_in extended permit tcp object-group Clients object-group
    > EXTERNAL

    Если это входящее правило на outside, то оно явно должно быть перевернуто и указаны вместо группы Clients ваш внешний адрес. Хотя лучше настроить inspect в данном случае

    > У меня вопрос. как правильно настроить акцесс листы, чтобы из подсети 192.168.5.1/
    > 255,255,252,0  (Clients)  разрешено было  ходить только на два

    странно, а сами указываете маску 255.255.255.0


    Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру