Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 23:34



Ответить на тему  [ Сообщений: 12 ] 
ASA 5510.Не вижу адрес отправителя входящего подключения 
Автор Сообщение

Зарегистрирован: 26 фев 2016, 14:56
Сообщения: 37
Добрый день! Ребята подскажите, может кто сталкивался с подобным.
В общем есть ASA 5510 (9.1). Стоит на границе сети, есть DMZ в которой есть сервер, на котором нужно смотреть логи входящих клиентский подключений к серверу, а точнее адрес того , кто подключался к моему серверу в DMZ зоне.
Так вот, у меня в логах для подключаемых к серверу пользователей адрес отправителя назначается как шлюз для DMZ.
На старой версии прошивки такой проблемы не было. Есть подозрения, что asa с новой прошивкой , что то где то закрывает адреса входящий пакетов.
Возможно кто то-направит меня, что где посмотреть.
Спасибо!


24 ноя 2017, 14:45
Профиль

Зарегистрирован: 26 фев 2016, 14:56
Сообщения: 37
П.С. Само собой настроен NAT. Думаю дело в нем. Просто дело в том, что на старой версии прошивки не было такой проблемы.

Код:
nat (OUTSIDE,DMZ) source static any interface destination static interface SERVER service HTTPS HTTPS
nat (DMZ,OUTSIDE) source static SERVER interface service HTTPS HTTPS


29 ноя 2017, 14:47
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
не совсем понятно для чего вы используете такой NAT. Например не ясен смысл этого
Код:
nat (OUTSIDE,DMZ) source static any interface destination static interface SERVER service HTTPS HTTPS


29 ноя 2017, 18:48
Профиль

Зарегистрирован: 26 фев 2016, 14:56
Сообщения: 37
Спасибо, что уделили внимание. Ну мне нужно , чтобы был доступ с внешней сети в DMZ зону к определенному серверу. По другому, я не знаю как пробросить порт. Вернее по другому не получилось.


30 ноя 2017, 08:55
Профиль

Зарегистрирован: 26 фев 2016, 14:56
Сообщения: 37
Блин, читаю мануалы. И правда как то странно настроено. Припоминаю, что были проблемы с пробросом порта в DMZ и посоветовавшись с ГУРУ - он сказал, что можно сделать так , как сейчас есть. Короче вопрос в том, что если переделать конфиг, есть ли вариант что проблема уйдет. Но настроено и правда не стандартно)


30 ноя 2017, 10:27
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
puz27 писал(а):
По другому, я не знаю как пробросить порт. Вернее по другому не получилось.

так вот же
Код:
nat (DMZ,OUTSIDE) source static SERVER interface service HTTPS HTTPS


30 ноя 2017, 12:11
Профиль

Зарегистрирован: 26 фев 2016, 14:56
Сообщения: 37
Да так правильно. Но почему то пакеты не проходили таким правилом.Поэтому не использовали object NAT. Буду пробовать. Спасибо.


30 ноя 2017, 15:18
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
пакеты могли не проходить из-за access-list'ов или еще чего-нибудь.


30 ноя 2017, 15:28
Профиль

Зарегистрирован: 26 фев 2016, 14:56
Сообщения: 37
Ребята привет! Возвращаюсь к своей старой давней теме.
По поводу того, что не вижу внешних ip адресов, настроить проброс 433, настроит все по мануалу от Cisco.

Код:
object network IC_SITE
 nat (DMZ,OUTSIDE) static IC_SITE service tcp https https


Та зайти снаружи могу на сервак, только вот внешний ip адрес входящего подключения - это как
и было раньше адрес шлюза моего DMZ.
Может все же кто то сталкивался?


03 июл 2018, 19:53
Профиль

Зарегистрирован: 15 июл 2017, 21:08
Сообщения: 70
puz27 писал(а):
Добрый день! Ребята подскажите, может кто сталкивался с подобным.
В общем есть ASA 5510 (9.1). Стоит на границе сети, есть DMZ в которой есть сервер, на котором нужно смотреть логи входящих клиентский подключений к серверу, а точнее адрес того , кто подключался к моему серверу в DMZ зоне.
Так вот, у меня в логах для подключаемых к серверу пользователей адрес отправителя назначается как шлюз для DMZ.
На старой версии прошивки такой проблемы не было. Есть подозрения, что asa с новой прошивкой , что то где то закрывает адреса входящий пакетов.
Возможно кто то-направит меня, что где посмотреть.
Спасибо!

Написано сумбурно , не хватает схемы хотя бы сети... если вам на ASA надо посмотреть все соединения то ... sh conn all


04 июл 2018, 07:58
Профиль

Зарегистрирован: 26 фев 2016, 14:56
Сообщения: 37
Код:
TCP OUTSIDE  192.168.20.202(194.194.194.194):25867 DMZ  192.168.20.100:443, idle 0:00:25, bytes 4943, flags UIOB
                           шлюз DMZ      внешний адрес                           Сервер в DMZ


Получается, что на ASA видно и адрес шлюза DMZ и адрес внешний пользователя.
А что по поводу HTTP X-Forwarded-For для ASA, может она обрезать его?


04 июл 2018, 10:58
Профиль

Зарегистрирован: 26 фев 2016, 14:56
Сообщения: 37
Все получилось!


04 июл 2018, 18:34
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 12 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 41


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB