Новые ответы

не получается запретить доступ в интернет конкретному хосту,

Vladimir, 21-Июл-11, 11:34 [смотреть все]

Доброго времени суток!
Никак не получается запретить доступ в интернет определенным хостам.
Имеем csco asa 5505, настроил 2 интерфейса:
outside xx.xx.xx.xx
inside 192.168.2.1
Конфиг пустой никаких access-list, access-group нет, но ICMP т.е пинг с любой машины не проходил, а в интернет ходят все у кого прописан DNS и geatway на csco.
Пишу правило access-list 1 extended permit icmp any any, вешаю его на access-group 1 in interface outside и пинг начинает работать с любой машины.
Еду дальше пытаюсь запретить хосту доступ в интернет пишу access-list 2 extended deny tcp host 192.168.2.10 any и добавляю его в группу 2 access-group 2 out interface outside, реузльтат инет пропадает у всех. Пробовал сперва добавить правило permit any any толку никакого полый игнор.
Так же пробовал повесить запрет на доступ из интерфейса inside путем внесения access-list 2 extended deny tcp host 192.168.2.10 interface inside и access-group 2 out interface inside, снова либо у всех пропадает либо у всех все есть.
Что за чертов фаервол у которого все разрешено а на запрещения с inside интерфейсом на outside он либо пропускает deny хосты либо закрывает доступ для всех.
Объясните популярно в чем загвоздка, с аппаратами csco я не знаком, теории прочитал много а толку от нее мало там все образно описано и то что написано мне и так ясно. Если есть прям конкретная ссылка на то как это делается то можете отправить но я ее не нашел ни на вашем форуме ни в других местах. Опять же желательно конкретно сказать по конректной причине что мол надо написать 10 строк таких вот.
Спасибо за понимание.

Ответить | Сообщить модератору

не получается запретить доступ в интернет конкретному хосту, Николай_kv, 12:01 , 21-Июл-11 (1)
Перепробовали все - кроме того что нужно. Вешайте правило на inside интерфейс, направление in.
Если запутались в направлениях делайте так - представьте себя внутри коробки все что в неё затекает это in все что вытекает out. :)
Ответить | Сообщить модератору

не получается запретить доступ в интернет конкретному хосту, Vladimir, 12:59 , 21-Июл-11 (2)
> Перепробовали все - кроме того что нужно. Вешайте правило на inside интерфейс,
> направление in.
> Если запутались в направлениях делайте так - представьте себя внутри коробки все
> что в неё затекает это in все что вытекает out. :)
Вешаю access-list 2 extended deny tcp host 192.168.2.10 any
access-group 2 in interface inside
И инет пропадает у всех.

Ответить | Сообщить модератору

не получается запретить доступ в интернет конкретному хосту, Vladimir, 13:04 , 21-Июл-11 (3)
>> Перепробовали все - кроме того что нужно. Вешайте правило на inside интерфейс,
>> направление in.
>> Если запутались в направлениях делайте так - представьте себя внутри коробки все
>> что в неё затекает это in все что вытекает out. :)
> Вешаю access-list 2 extended deny tcp host 192.168.2.10 any
> access-group 2 in interface inside
> И инет пропадает у всех.
Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside тоже закрывает доступ всем хостам.
Еще такая ремарка все делаю в running конфиге и все применяется сразу же, может надо записывать в startup и перегружать csco? Не перегружаю потому что люди работают.
Ответить | Сообщить модератору

не получается запретить доступ в интернет конкретному хосту, OvDP, 13:17 , 21-Июл-11 (4)
>[оверквотинг удален]
>>> Если запутались в направлениях делайте так - представьте себя внутри коробки все
>>> что в неё затекает это in все что вытекает out. :)
>> Вешаю access-list 2 extended deny tcp host 192.168.2.10 any
>> access-group 2 in interface inside
>> И инет пропадает у всех.
> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside
> тоже закрывает доступ всем хостам.
> Еще такая ремарка все делаю в running конфиге и все применяется сразу
> же, может надо записывать в startup и перегружать csco? Не перегружаю
> потому что люди работают.
может стоить начать с демонстрации конфига? перезагружать не нужно.
Ответить | Сообщить модератору

не получается запретить доступ в интернет конкретному хосту, Vladimir, 13:29 , 21-Июл-11 (5)
>[оверквотинг удален]
>>>> что в неё затекает это in все что вытекает out. :)
>>> Вешаю access-list 2 extended deny tcp host 192.168.2.10 any
>>> access-group 2 in interface inside
>>> И инет пропадает у всех.
>> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside
>> тоже закрывает доступ всем хостам.
>> Еще такая ремарка все делаю в running конфиге и все применяется сразу
>> же, может надо записывать в startup и перегружать csco? Не перегружаю
>> потому что люди работают.
> может стоить начать с демонстрации конфига? перезагружать не нужно.
Тогда мини вопрос как с этой беды скинуть конфиг не через tftp,ftp на на простую флешку (разъемы на asa 5505 есть а mount чет не работает в стандартном виде)
Из возможных интересующих строк вот:
!interface Ethernet0/0
switchport access vlan 2
!
access-list 1 extended permit icmp any any
logging asd informational
mtu inside 1500
mtu outside 1500
icmp unreachable reate-limit 1 burst-size 1
global (outside) 1 interface
nat (inside) 1 192.168.2.0 255.255.255.0
nat (inside) 1 0.0.0.0 0.0.0.0
access-group 1 in interface outside
route outside 0.0.0.0 0.0.0.0 xx.xx.xx.xx 1
dynamic-access-policy-record DfltAccessPolicy (мож дело в ней?)
crypto ipsec security-association lifetime seconds 28800
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
вот рактически весь конфиг
Ответить | Сообщить модератору

не получается запретить доступ в интернет конкретному хосту, Aleks305, 13:42 , 21-Июл-11 (7)
>[оверквотинг удален]
> access-group 1 in interface outside
> route outside 0.0.0.0 0.0.0.0 xx.xx.xx.xx 1
> dynamic-access-policy-record DfltAccessPolicy (мож дело в ней?)
> crypto ipsec security-association lifetime seconds 28800
> dhcpd auto_config outside
> !
> threat-detection basic-threat
> threat-detection statistics access-list
> no threat-detection statistics tcp-intercept
> вот рактически весь конфиг
а policy-map и service-policy где?
Ответить | Сообщить модератору

не получается запретить доступ в интернет конкретному хосту, Vladimir, 13:43 , 21-Июл-11 (9)
>[оверквотинг удален]
>> route outside 0.0.0.0 0.0.0.0 xx.xx.xx.xx 1
>> dynamic-access-policy-record DfltAccessPolicy (мож дело в ней?)
>> crypto ipsec security-association lifetime seconds 28800
>> dhcpd auto_config outside
>> !
>> threat-detection basic-threat
>> threat-detection statistics access-list
>> no threat-detection statistics tcp-intercept
>> вот рактически весь конфиг
> а policy-map и service-policy где?
Нет там таких строк и близко
Ответить | Сообщить модератору

не получается запретить доступ в интернет конкретному хосту, Aleks305, 13:46 , 21-Июл-11 (10)
>[оверквотинг удален]
>>>> access-group 2 in interface inside
>>>> И инет пропадает у всех.
>>> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside
>>> тоже закрывает доступ всем хостам.
>>> Еще такая ремарка все делаю в running конфиге и все применяется сразу
>>> же, может надо записывать в startup и перегружать csco? Не перегружаю
>>> потому что люди работают.
>> может стоить начать с демонстрации конфига? перезагружать не нужно.
> Тогда мини вопрос как с этой беды скинуть конфиг не через tftp,ftp
> на на простую флешку (разъемы на asa 5505 есть а mount
copy tftp ....
>[оверквотинг удален]
> switchport access vlan 2
> !
> access-list 1 extended permit icmp any any
> logging asd informational
> mtu inside 1500
> mtu outside 1500
> icmp unreachable reate-limit 1 burst-size 1
> global (outside) 1 interface
> nat (inside) 1 192.168.2.0 255.255.255.0
> nat (inside) 1 0.0.0.0 0.0.0.0
зачем эта строчка?
> access-group 1 in interface outside
> route outside 0.0.0.0 0.0.0.0 xx.xx.xx.xx 1
> dynamic-access-policy-record DfltAccessPolicy (мож дело в ней?)
не встречал раньше в дефолтном конфиге
> crypto ipsec security-association lifetime seconds 28800
> dhcpd auto_config outside
это зачем?
> !
> threat-detection basic-threat
> threat-detection statistics access-list
> no threat-detection statistics tcp-intercept
> вот рактически весь конфиг
Ответить | Сообщить модератору

не получается запретить доступ в интернет конкретному хосту, Aleks305, 13:39 , 21-Июл-11 (6)
>[оверквотинг удален]
>>> Если запутались в направлениях делайте так - представьте себя внутри коробки все
>>> что в неё затекает это in все что вытекает out. :)
>> Вешаю access-list 2 extended deny tcp host 192.168.2.10 any
>> access-group 2 in interface inside
>> И инет пропадает у всех.
> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside
> тоже закрывает доступ всем хостам.
> Еще такая ремарка все делаю в running конфиге и все применяется сразу
> же, может надо записывать в startup и перегружать csco? Не перегружаю
> потому что люди работают.
нет,не надо в стартап,он нужен только при перезагрузке cisco.привидите конфиг весь
Ответить | Сообщить модератору

не получается запретить доступ в интернет конкретному хосту, Vladimir, 13:42 , 21-Июл-11 (8)
>[оверквотинг удален]
>>>> что в неё затекает это in все что вытекает out. :)
>>> Вешаю access-list 2 extended deny tcp host 192.168.2.10 any
>>> access-group 2 in interface inside
>>> И инет пропадает у всех.
>> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside
>> тоже закрывает доступ всем хостам.
>> Еще такая ремарка все делаю в running конфиге и все применяется сразу
>> же, может надо записывать в startup и перегружать csco? Не перегружаю
>> потому что люди работают.
> нет,не надо в стартап,он нужен только при перезагрузке cisco.привидите конфиг весь
ну я привел выше практически весь, ну есть там еще строки типа timeout штук 5, multicast-routing, про ssh и telnet но даже мне очевидно что это к делу отношения не имеет (скажите как флешку примонтировать я скину весь)

Ответить | Сообщить модератору

не получается запретить доступ в интернет конкретному хосту, OvDP, 13:50 , 21-Июл-11 (11)
>[оверквотинг удален]
>>> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside
>>> тоже закрывает доступ всем хостам.
>>> Еще такая ремарка все делаю в running конфиге и все применяется сразу
>>> же, может надо записывать в startup и перегружать csco? Не перегружаю
>>> потому что люди работают.
>> нет,не надо в стартап,он нужен только при перезагрузке cisco.привидите конфиг весь
> ну я привел выше практически весь, ну есть там еще строки типа
> timeout штук 5, multicast-routing, про ssh и telnet но даже мне
> очевидно что это к делу отношения не имеет (скажите как флешку
> примонтировать я скину весь)
уважаемый топикстартер, выложите весь конфиг, если желаете решить свою проблему общими усилиями.
Ответить | Сообщить модератору
не получается запретить доступ в интернет конкретному хосту, Vladimir, 13:53 , 21-Июл-11 (12)
Кароче вот весь конфиг (я же просил mount флешки а не tftp)
ASA Version 8.2(1)
!
hostname xxx
enable password *** encrypted
passwd *** encrypted
multicast-routing
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address xxx.xxx.xxx.xxx 255.255.255.252
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
access-list 1 extended permit icmp any any
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.2.0 255.255.255.0
nat (inside) 1 0.0.0.0 0.0.0.0
access-group 1 in interface outside
route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet 192.168.2.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
!
prompt hostname context
Cryptochecksum:357d5f6f94750c6c6909d8c95fa87e67
: end
Строка access-list 1 extended permit icmp any any и access-group 1 in interface outside для включения пинга, потому что он не работал изначально без этих строк с хостов а мне нужен для теста.
Ответить | Сообщить модератору

не получается запретить доступ в интернет конкретному хосту, OvDP, 14:15 , 21-Июл-11 (14)
попробуйте так
>[оверквотинг удален]
> interface Ethernet0/4
> !
> interface Ethernet0/5
> !
> interface Ethernet0/6
> !
> interface Ethernet0/7
> !
> ftp mode passive
> access-list 1 extended permit icmp any any
no access-list 1 extended permit icmp any any
!запрещаем хосту 192.168.2.222 куда угодно
access-list inside_access_in extended deny ip host 192.168.2.222 any
!разрешаем остальным
access-list inside_access_in extended permit ip any any
>[оверквотинг удален]
> logging asdm informational
> mtu inside 1500
> mtu outside 1500
> icmp unreachable rate-limit 1 burst-size 1
> no asdm history enable
> arp timeout 14400
> global (outside) 1 interface
> nat (inside) 1 192.168.2.0 255.255.255.0
> nat (inside) 1 0.0.0.0 0.0.0.0
> access-group 1 in interface outside
no access-group 1 in interface outside
access-group inside_access_in in interface inside
>[оверквотинг удален]
> dhcpd auto_config outside
> !
> threat-detection basic-threat
> threat-detection statistics access-list
> no threat-detection statistics tcp-intercept
> !
> !
> prompt hostname context
> Cryptochecksum:357d5f6f94750c6c6909d8c95fa87e67
> : end
Ответить | Сообщить модератору

не получается запретить доступ в интернет конкретному хосту, Vladimir, 14:31 , 21-Июл-11 (15)
>[оверквотинг удален]
>> dhcpd auto_config outside
>> !
>> threat-detection basic-threat
>> threat-detection statistics access-list
>> no threat-detection statistics tcp-intercept
>> !
>> !
>> prompt hostname context
>> Cryptochecksum:357d5f6f94750c6c6909d8c95fa87e67
>> : end
Подтвреждаю работает для этого хоста, но теперь пинг на внешку не работает нигде. Добавление туда же access-list inside_access_in extended permit icmp any any не дало эффекта. (и все таки еще на этой сраной штуке есть usb, как флешку то примонтировать на вскидку никто не знает?)
Ответить | Сообщить модератору

не получается запретить доступ в интернет конкретному хосту, OvDP, 14:52 , 21-Июл-11 (16)
>[оверквотинг удален]
>>> no threat-detection statistics tcp-intercept
>>> !
>>> !
>>> prompt hostname context
>>> Cryptochecksum:357d5f6f94750c6c6909d8c95fa87e67
>>> : end
> Подтвреждаю работает для этого хоста, но теперь пинг на внешку не работает
> нигде. Добавление туда же access-list inside_access_in extended permit icmp any any
> не дало эффекта. (и все таки еще на этой сраной штуке
> есть usb, как флешку то примонтировать на вскидку никто не знает?)
class-map inspection_default
  match default-inspection-traffic
policy-map global_policy
  class inspection_default
    inspect dns maximum-length 512
    inspect ftp
    inspect h323 h225
    inspect h323 ras
    inspect smtp
    inspect sip
    inspect icmp
service-policy global_policy global
Ответить | Сообщить модератору
не получается запретить доступ в интернет конкретному хосту, slayer, 17:11 , 21-Июл-11 (19)
> есть usb, как флешку то примонтировать на вскидку никто не знает?)
Не работает там порт. Бестолку втыкать фшэки.

Ответить | Сообщить модератору

не получается запретить доступ в интернет конкретному хосту, Aleks305, 13:55 , 21-Июл-11 (13)
>[оверквотинг удален]
>>> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside
>>> тоже закрывает доступ всем хостам.
>>> Еще такая ремарка все делаю в running конфиге и все применяется сразу
>>> же, может надо записывать в startup и перегружать csco? Не перегружаю
>>> потому что люди работают.
>> нет,не надо в стартап,он нужен только при перезагрузке cisco.привидите конфиг весь
> ну я привел выше практически весь, ну есть там еще строки типа
> timeout штук 5, multicast-routing, про ssh и telnet но даже мне
> очевидно что это к делу отношения не имеет (скажите как флешку
> примонтировать я скину весь)
через putty подключаетесь?включите логирование и будет вам конфиг
Ответить | Сообщить модератору

не получается запретить доступ в интернет конкретному хосту, Николай_kv, 15:07 , 21-Июл-11 (17)
вот это тема за час разрослась :)
Ответить | Сообщить модератору

не получается запретить доступ в интернет конкретному хосту, Валентин, 16:18 , 21-Июл-11 (18)
>> Перепробовали все - кроме того что нужно. Вешайте правило на inside интерфейс,
>> направление in.
>> Если запутались в направлениях делайте так - представьте себя внутри коробки все
>> что в неё затекает это in все что вытекает out. :)
> Вешаю access-list 2 extended deny tcp host 192.168.2.10 any
> access-group 2 in interface inside
> И инет пропадает у всех.
access-list 2 extended deny tcp host 192.168.2.10 any
access-list 2 extended permit ip any any
access-group 2 in interface inside
При желании второе правило можно более точно прописать, например:
access-list 2 extended permit ip 192.168.2.0 255.255.255.0 any
Ответить | Сообщить модератору

не получается запретить доступ в интернет конкретному хосту, Vladimir, 17:14 , 21-Июл-11 (20)
Всем спасибо за участие, в принцыпе понял что из за моего самописного правила про icmp отключалось почему то все (только после добавления любого другого правила) странное поведение конечно.
Ответить | Сообщить модератору

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру