форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение		[ Отслеживать ]

"ASA 5505 проброс с INSUDE в DMZ"	+/–
Сообщение от Anubi (??) on 21-Фев-14, 11:46
Доброго всем.Я новичек в ios, по сему прошу вашей помощи. Пробовал по мануалам из инета, ничего не выходит. Есть asa 5505 c base licens. Есть задача настроить DMZ, при чем сделать возможным доступ из inside в DMZ. DMZ должна ходить в инет. Вот мой конфиг: ! interface Vlan1 nameif inside security-level 100 ip address 172.17.1.10 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address 192.168.12.20 255.255.255.0 ! interface Vlan12 no forward interface Vlan1 nameif dmz security-level 50 ip address 172.17.2.10 255.255.255.0 ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 switchport access vlan 12 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! ftp mode passive clock timezone EEST 2 clock summer-time EEDT recurring last Sun Mar 3:00 last Sun Oct 4:00 dns server-group DefaultDNS domain-name default object-group protocol TCPUDP protocol-object udp protocol-object tcp object-group service ra tcp-udp port-object eq 4899 object-group service DM_INLINE_TCP_1 tcp access-list inside_access_in remark DNS access-list inside_access_in extended permit 53 any any access-list inside_access_in remark ICMP access-list inside_access_in extended permit icmp any any access-list inside_access_in remark inside to any access-list inside_access_in extended permit ip 172.17.1.0 255.255.255.0 any access-list inside_access_in extended permit ip 192.168.12.0 255.255.255.0 any access-list inside_access_in extended permit ip any any access-list inside_access_in extended permit ip 172.17.2.0 255.255.255.0 any access-list outside_access_in extended permit object-group TCPUDP 192.168.12.0 255.255.255.0 host 172.17.1.100 eq www access-list outside_access_in extended permit tcp 192.168.12.0 255.255.255.0 host 172.17.1.2 object-group MB access-list outside_access_in extended permit object-group TCPUDP 192.168.0.0 255.255.252.0 host 172.17.1.100 eq www access-list outside_access_in extended permit tcp 192.168.12.0 255.255.255.0 host 172.17.1.100 eq ldap access-list outside_access_in extended permit tcp 192.168.0.0 255.255.252.0 host 172.17.1.2 object-group MB access-list outside_access_in extended permit tcp 192.168.0.0 255.255.252.0 host 172.17.1.100 eq ldap access-list outside_access_in extended permit tcp any host 172.17.1.2 object-group MB access-list outside_access_in extended permit icmp any any log disable access-list outside_access_in extended permit object-group TCPUDP object-group ru object-group cu object-group ra log disable access-list outside_access_in extended permit ip any host 172.17.1.100 log disable access-list outside_access_in extended permit ip host 192.168.1.1 host cc access-list dmz_access_in extended permit tcp any host MB-CC-New object-group DM_INLINE_TCP_1 access-list dmz_access_in extended permit tcp any host LDAP-New eq ldap pager lines 24 logging enable logging timestamp logging trap informational logging asdm informational logging facility 22 logging host inside 172.17.1.2 logging debug-trace logging permit-hostdown logging class auth trap informational logging class bridge trap informational logging class config trap informational logging class ha trap informational logging class ids trap informational logging class ip trap informational logging class np trap informational logging class session trap informational logging class sys trap informational logging class ca trap informational logging class email trap informational logging class nac trap informational logging class eapoudp trap informational logging class eap trap informational mtu inside 1500 mtu outside 1500 mtu dmz 1500 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-524.bin no asdm history enable arp timeout 14400 global (outside) 1 interface access-group inside_access_in in interface inside access-group outside_access_in in interface outside access-group dmz_access_in in interface dmz route outside 0.0.0.0 0.0.0.0 192.168.12.98 1
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "ASA 5505 проброс с INSUDE в DMZ"	+/–
Сообщение от alecx_ on 21-Фев-14, 12:04
при наличии access-list inside_access_in extended permit ip any any  все остальное не имеет смысла. Обычно делают: - OUTSIDE-IN (лист доступа из внешних сетей) - OUTSIDE-OUT (лист доступа во внешние сети если хотите это контролировать) - DMZ-OUT (лист доступа на выход их сети DMZ во вне и в inside) Доступ из inside в dmz открыт по дефолту из-за разницы в security-level (из большего в меньший). Для понимания работы логики ASA есть в ней классная команда packet-tracert
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "ASA 5505 проброс с INSUDE в DMZ"	+/–
	Сообщение от Anubi (??) on 21-Фев-14, 12:25
	> при наличии access-list inside_access_in extended permit ip any any  все остальное > не имеет смысла. > Обычно делают: > - OUTSIDE-IN (лист доступа из внешних сетей) > - OUTSIDE-OUT (лист доступа во внешние сети если хотите это контролировать) > - DMZ-OUT (лист доступа на выход их сети DMZ во вне и > в inside) > Доступ из inside в dmz открыт по дефолту из-за разницы в security-level > (из большего в меньший). > Для понимания работы логики ASA есть в ней классная команда packet-tracert permit ip any any добавил что бы исключить грабли с фаерволом. > Доступ из inside в dmz открыт по дефолту из-за разницы в security-level > (из большего в меньший). Не работает.(( не пингую я иp inside хост в DMZ. Подскажите плиз чего делать?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "ASA 5505 проброс с INSUDE в DMZ"	+/–
	Сообщение от Anubi (??) on 21-Фев-14, 12:50
	переделал так, но все равно не работает пинг из inside в dmz. Прошу не пинать, в цысках новичек. Подскажите где грабли? :( ! interface Vlan1 nameif inside security-level 100 ip address 172.17.1.10 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address 192.168.12.20 255.255.255.0 ! interface Vlan12 no forward interface Vlan1 nameif dmz security-level 50 ip address 172.17.2.10 255.255.255.0 ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 switchport access vlan 12 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! ftp mode passive clock timezone EEST 2 clock summer-time EEDT recurring last Sun Mar 3:00 last Sun Oct 4:00 dns server-group DefaultDNS domain-name default same-security-traffic permit intra-interface object-group protocol TCPUDP protocol-object udp protocol-object tcp object-group service ra tcp-udp port-object eq 4899 access-list inside_access_in remark DNS access-list inside_access_in extended permit 53 any any access-list inside_access_in remark ICMP access-list inside_access_in extended permit icmp any any log debugging access-list inside_access_in remark inside to any access-list inside_access_in extended permit ip 172.17.1.0 255.255.255.0 any access-list inside_access_in extended permit ip 192.168.12.0 255.255.255.0 any access-list inside_access_in extended permit ip any any access-list outside_access_in extended permit object-group TCPUDP 192.168.12.0 255.255.255.0 host 172.17.1.100 eq www access-list outside_access_in extended permit tcp 192.168.12.0 255.255.255.0 host 172.17.1.2 object-group MB access-list outside_access_in extended permit object-group TCPUDP 192.168.0.0 255.255.252.0 host 172.17.1.100 eq www access-list outside_access_in extended permit tcp 192.168.12.0 255.255.255.0 host 172.17.1.100 eq ldap access-list outside_access_in extended permit tcp 192.168.0.0 255.255.252.0 host 172.17.1.2 object-group MB access-list outside_access_in extended permit tcp 192.168.0.0 255.255.252.0 host 172.17.1.100 eq ldap access-list outside_access_in extended permit tcp any host 172.17.1.2 object-group MB access-list outside_access_in extended permit icmp any any log disable access-list outside_access_in extended permit object-group TCPUDP object-group ru object-group cu object-group ra log disable access-list outside_access_in extended permit ip any host 172.17.1.100 log disable access-list outside_access_in extended permit ip host 192.168.1.1 host cc access-list dmz_access_in extended permit ip any any log debugging pager lines 24 logging enable logging timestamp logging trap informational logging asdm informational logging facility 22 logging host inside 172.17.1.2 logging debug-trace logging permit-hostdown logging class auth trap informational logging class bridge trap informational logging class config trap informational logging class ha trap informational logging class ids trap informational logging class ip trap informational logging class np trap informational logging class session trap informational logging class sys trap informational logging class ca trap informational logging class email trap informational logging class nac trap informational logging class eapoudp trap informational logging class eap trap informational mtu inside 1500 mtu outside 1500 mtu dmz 1500 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-524.bin no asdm history enable arp timeout 14400 global (dmz) 1 interface nat (dmz) 1 172.17.2.0 255.255.255.0 access-group inside_access_in in interface inside access-group outside_access_in in interface outside access-group dmz_access_in in interface dmz route outside 0.0.0.0 0.0.0.0 192.168.12.98 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute aaa authentication enable console LOCAL aaa authentication http console LOCAL aaa authentication serial console LOCAL aaa authentication ssh console LOCAL aaa authorization command LOCAL aaa local authentication attempts max-fail 3 http server enable http 172.17.1.101 255.255.255.255 inside http ian 255.255.255.255 outside http 172.17.1.10 255.255.255.255 inside http su 255.255.255.255 outside http sosna 255.255.255.255 outside no snmp-server location no snmp-server contact class-map type inspect http match-all asdm_medium_security_methods match not request method head match not request method post match not request method get class-map type inspect http match-all asdm_high_security_methods match not request method head ! ! policy-map type inspect dns preset_dns_map parameters   message-length maximum 512 policy-map type inspect http htttp_inspect parameters   protocol-violation action drop-connection class asdm_medium_security_methods   drop-connection ! prompt hostname context Cryptochecksum:162d459a08301a3cac465267c02771d0 : end
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "ASA 5505 проброс с INSUDE в DMZ"	+/–
	Сообщение от Тимофей (??) on 21-Фев-14, 15:20
	> переделал так, но все равно не работает пинг из inside в dmz. > Прошу не пинать, в цысках новичек. Подскажите где грабли? :( Естественно не будет работать у вас маршрутов нет. Один только дефолт route outside 0.0.0.0 0.0.0.0 192.168.12.98 1
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "ASA 5505 проброс с INSUDE в DMZ"	+/–
	Сообщение от Anubi (??) on 21-Фев-14, 15:34
	>> переделал так, но все равно не работает пинг из inside в dmz. >> Прошу не пинать, в цысках новичек. Подскажите где грабли? :( > Естественно не будет работать у вас маршрутов нет. > Один только дефолт > route outside 0.0.0.0 0.0.0.0 192.168.12.98 1 спасибо. разобрался))
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема