|
|
Страница 1 из 1
|
[ Сообщений: 12 ] |
|
ASA 5510.Не вижу адрес отправителя входящего подключения
Автор |
Сообщение |
puz27
Зарегистрирован: 26 фев 2016, 14:56 Сообщения: 37
|
Добрый день! Ребята подскажите, может кто сталкивался с подобным. В общем есть ASA 5510 (9.1). Стоит на границе сети, есть DMZ в которой есть сервер, на котором нужно смотреть логи входящих клиентский подключений к серверу, а точнее адрес того , кто подключался к моему серверу в DMZ зоне. Так вот, у меня в логах для подключаемых к серверу пользователей адрес отправителя назначается как шлюз для DMZ. На старой версии прошивки такой проблемы не было. Есть подозрения, что asa с новой прошивкой , что то где то закрывает адреса входящий пакетов. Возможно кто то-направит меня, что где посмотреть. Спасибо!
|
24 ноя 2017, 14:45 |
|
|
puz27
Зарегистрирован: 26 фев 2016, 14:56 Сообщения: 37
|
П.С. Само собой настроен NAT. Думаю дело в нем. Просто дело в том, что на старой версии прошивки не было такой проблемы. Код: nat (OUTSIDE,DMZ) source static any interface destination static interface SERVER service HTTPS HTTPS nat (DMZ,OUTSIDE) source static SERVER interface service HTTPS HTTPS
|
29 ноя 2017, 14:47 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
не совсем понятно для чего вы используете такой NAT. Например не ясен смысл этого Код: nat (OUTSIDE,DMZ) source static any interface destination static interface SERVER service HTTPS HTTPS
|
29 ноя 2017, 18:48 |
|
|
puz27
Зарегистрирован: 26 фев 2016, 14:56 Сообщения: 37
|
Спасибо, что уделили внимание. Ну мне нужно , чтобы был доступ с внешней сети в DMZ зону к определенному серверу. По другому, я не знаю как пробросить порт. Вернее по другому не получилось.
|
30 ноя 2017, 08:55 |
|
|
puz27
Зарегистрирован: 26 фев 2016, 14:56 Сообщения: 37
|
Блин, читаю мануалы. И правда как то странно настроено. Припоминаю, что были проблемы с пробросом порта в DMZ и посоветовавшись с ГУРУ - он сказал, что можно сделать так , как сейчас есть. Короче вопрос в том, что если переделать конфиг, есть ли вариант что проблема уйдет. Но настроено и правда не стандартно)
|
30 ноя 2017, 10:27 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
puz27 писал(а): По другому, я не знаю как пробросить порт. Вернее по другому не получилось. так вот же Код: nat (DMZ,OUTSIDE) source static SERVER interface service HTTPS HTTPS
|
30 ноя 2017, 12:11 |
|
|
puz27
Зарегистрирован: 26 фев 2016, 14:56 Сообщения: 37
|
Да так правильно. Но почему то пакеты не проходили таким правилом.Поэтому не использовали object NAT. Буду пробовать. Спасибо.
|
30 ноя 2017, 15:18 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
пакеты могли не проходить из-за access-list'ов или еще чего-нибудь.
|
30 ноя 2017, 15:28 |
|
|
puz27
Зарегистрирован: 26 фев 2016, 14:56 Сообщения: 37
|
Ребята привет! Возвращаюсь к своей старой давней теме. По поводу того, что не вижу внешних ip адресов, настроить проброс 433, настроит все по мануалу от Cisco. Код: object network IC_SITE nat (DMZ,OUTSIDE) static IC_SITE service tcp https https Та зайти снаружи могу на сервак, только вот внешний ip адрес входящего подключения - это как и было раньше адрес шлюза моего DMZ. Может все же кто то сталкивался?
|
03 июл 2018, 19:53 |
|
|
phant
Зарегистрирован: 15 июл 2017, 21:08 Сообщения: 70
|
puz27 писал(а): Добрый день! Ребята подскажите, может кто сталкивался с подобным. В общем есть ASA 5510 (9.1). Стоит на границе сети, есть DMZ в которой есть сервер, на котором нужно смотреть логи входящих клиентский подключений к серверу, а точнее адрес того , кто подключался к моему серверу в DMZ зоне. Так вот, у меня в логах для подключаемых к серверу пользователей адрес отправителя назначается как шлюз для DMZ. На старой версии прошивки такой проблемы не было. Есть подозрения, что asa с новой прошивкой , что то где то закрывает адреса входящий пакетов. Возможно кто то-направит меня, что где посмотреть. Спасибо! Написано сумбурно , не хватает схемы хотя бы сети... если вам на ASA надо посмотреть все соединения то ... sh conn all
|
04 июл 2018, 07:58 |
|
|
puz27
Зарегистрирован: 26 фев 2016, 14:56 Сообщения: 37
|
Код: TCP OUTSIDE 192.168.20.202(194.194.194.194):25867 DMZ 192.168.20.100:443, idle 0:00:25, bytes 4943, flags UIOB шлюз DMZ внешний адрес Сервер в DMZ Получается, что на ASA видно и адрес шлюза DMZ и адрес внешний пользователя. А что по поводу HTTP X-Forwarded-For для ASA, может она обрезать его?
|
04 июл 2018, 10:58 |
|
|
puz27
Зарегистрирован: 26 фев 2016, 14:56 Сообщения: 37
|
Все получилось!
|
04 июл 2018, 18:34 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 12 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 41 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|