The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Не работает простейший ACL на ASA5510"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Не работает простейший ACL на ASA5510"  +/
Сообщение от serg321 email on 01-Июн-09, 12:32 
Получил новую железяку ASA5510, сижу изучаю.
Опыта работы с ASA-ой не было.
Но не получается сделать элементарной вещи, к примеру ограничить полностью весь входящий трафик на WAN интерфейсе. К примеру ниже привел вырезки, пробую ограничить входящие icmp пакеты, но все равно пинговать интерфейс interface Ethernet0/1 (вернее его IP назначенный ему) остается возможным...

Почему не работает элементарные правила не понимаю...

Firewall в таком режиме :
show firewall
Firewall mode: Router

Вот вырезки:

interface Ethernet0/0
nameif LAN
security-level 100
ip address 10.192.162.2 255.255.255.248
!
interface Ethernet0/1
nameif Equant
security-level 0
ip address 212.176.x.x 255.255.255.224
..
access-list 1 extended deny icmp any any log disable
..
access-group 1 in interface Equant
..
route Equant 0.0.0.0 0.0.0.0 212.176.x.x
..
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 10.192.99.1 source LAN
...
class-map inspection_default
match default-inspection-traffic
!
!


p.s.менял именна акцес листов(сейчас 1), пробовал через CLI и через ASDM (куда еще проще) и все равно пинги проходят.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Не работает простейший ACL на ASA5510"  +/
Сообщение от huk on 01-Июн-09, 12:51 
>[оверквотинг удален]
>ntp server 10.192.99.1 source LAN
>...
>class-map inspection_default
> match default-inspection-traffic
>!
>!
>
>
>p.s.менял именна акцес листов(сейчас 1), пробовал через CLI и через ASDM (куда
>еще проще) и все равно пинги проходят.

Откуда и кого пингуешь?
По умолчанию, весь трафик со стороны интерфейса с большей секьюретью проходит на интерфейс с меньшей секьюретью.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Не работает простейший ACL на ASA5510"  +/
Сообщение от root0 (ok) on 01-Июн-09, 12:55 
conf t
icmp deny any (name interface)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Не работает простейший ACL на ASA5510"  +/
Сообщение от Николай (??) on 01-Июн-09, 13:02 
>[оверквотинг удален]
>ntp server 10.192.99.1 source LAN
>...
>class-map inspection_default
> match default-inspection-traffic
>!
>!
>
>
>p.s.менял именна акцес листов(сейчас 1), пробовал через CLI и через ASDM (куда
>еще проще) и все равно пинги проходят.

привет, тут вся хитрость в том что имя аксес листа и группы должно быть привязано к интерфейсу.
в твоем примере для interface Ethernet0/1 закрываем ицмп
access-list Equant extended deny icmp any any
access-list Equant extended permit ip any any
access-group Equant in interface Equant
access-group Equant out interface Equant

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Не работает простейший ACL на ASA5510"  +/
Сообщение от root0 (??) on 01-Июн-09, 13:33 
на ASA вообще-то идут отдельные правила

icmp permit/deny host/any interface

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Не работает простейший ACL на ASA5510"  +/
Сообщение от huk on 01-Июн-09, 13:35 
>на ASA вообще-то идут отдельные правила
>
>icmp permit/deny host/any interface

Мозг человеку не съедайте. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Не работает простейший ACL на ASA5510"  +/
Сообщение от huk on 01-Июн-09, 13:34 
>[оверквотинг удален]
>>p.s.менял именна акцес листов(сейчас 1), пробовал через CLI и через ASDM (куда
>>еще проще) и все равно пинги проходят.
>
>привет, тут вся хитрость в том что имя аксес листа и группы
>должно быть привязано к интерфейсу.
>в твоем примере для interface Ethernet0/1 закрываем ицмп
>access-list Equant extended deny icmp any any
>access-list Equant extended permit ip any any
>access-group Equant in interface Equant
>access-group Equant out interface Equant

O_O
Никогда ничего не привязывал.... все работало...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Не работает простейший ACL на ASA5510"  +/
Сообщение от mario email(ok) on 01-Июн-09, 13:56 
>[оверквотинг удален]
>>привет, тут вся хитрость в том что имя аксес листа и группы
>>должно быть привязано к интерфейсу.
>>в твоем примере для interface Ethernet0/1 закрываем ицмп
>>access-list Equant extended deny icmp any any
>>access-list Equant extended permit ip any any
>>access-group Equant in interface Equant
>>access-group Equant out interface Equant
>
>O_O
>Никогда ничего не привязывал.... все работало...

наверное ранее через асдм крутили так там автоматом группа вяжется

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Не работает простейший ACL на ASA5510"  +/
Сообщение от huk on 01-Июн-09, 14:07 
>[оверквотинг удален]
>>>в твоем примере для interface Ethernet0/1 закрываем ицмп
>>>access-list Equant extended deny icmp any any
>>>access-list Equant extended permit ip any any
>>>access-group Equant in interface Equant
>>>access-group Equant out interface Equant
>>
>>O_O
>>Никогда ничего не привязывал.... все работало...
>
>наверное ранее через асдм крутили так там автоматом группа вяжется

ASDM'ом не пользуюсь вообще....
увязывать имя аксес-листа с именем интерефейса не обязательно...
в общем читайте официальный мануал... чего Вам объяснять-то....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Не работает простейший ACL на ASA5510"  +/
Сообщение от serg321 email on 01-Июн-09, 15:03 
акцес лист и так был привязан к интерфейсу
access-group 1 in interface Equant


А вот это помогло
icmp deny any inside

У меня нет слов просто!! Точно мозг сломал. Два дня бьюсь.
Получается, что на ASA для icmp надо отельные правила писать ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Не работает простейший ACL на ASA5510"  +/
Сообщение от root0 (??) on 01-Июн-09, 16:28 
Для icmp отдельно

Вообще если что не понятно загляните уже в ASDM или религия не позволяет
?????

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру