Anticisco http://anticisco.ru/forum/ |
|
ASA 5510, трафик из DMZ в inside и обратно http://anticisco.ru/forum/viewtopic.php?f=2&t=11507 |
Страница 1 из 2 |
Автор: | palyl [ 09 фев 2021, 19:04 ] |
Заголовок сообщения: | ASA 5510, трафик из DMZ в inside и обратно |
Всем привет! С Cisco только начал разбираться. Может быть кто-то порекомендует книгу по cisco asa, желательно на русском языке? Задача у меня наверное для большинства будет проста. Необходимо, чтобы можно было ходить из DMZ в inside и обратно. Понимаю, что конфиг у меня так себе. Подскажите пожалуйста в чем не прав и где исправить? show run ниже ciscoasaspb2(config)# sh run : Saved : : Serial Number: JMX1110L0FM : Hardware: ASA5510, 1024 MB RAM, CPU Pentium 4 Celeron 1600 MHz : ASA Version 9.1(7)32 ! hostname ... domain-name ... enable password 4wW1ZxlzMDz/EaJX encrypted xlate per-session deny tcp any4 any4 xlate per-session deny tcp any4 any6 xlate per-session deny tcp any6 any4 xlate per-session deny tcp any6 any6 xlate per-session deny udp any4 any4 eq domain xlate per-session deny udp any4 any6 eq domain xlate per-session deny udp any6 any4 eq domain xlate per-session deny udp any6 any6 eq domain names ! interface Ethernet0/0 nameif dmz security-level 50 ip address 192.168.111.1 255.255.255.0 ospf cost 10 ! interface Ethernet0/1 nameif outside security-level 0 ip address 287.118.117.126 255.255.255.240 ospf cost 10 ! interface Ethernet0/2 nameif net security-level 50 ip address 192.168.90.85 255.255.255.0 ! interface Ethernet0/3 nameif inside security-level 50 ip address 192.168.20.1 255.255.255.0 ospf cost 10 ! interface Management0/0 shutdown no nameif no security-level no ip address ! boot system disk0:/asa917-32-k8.bin boot system disk0:/asa723-k8.bin ftp mode passive dns server-group DefaultDNS domain-name spbvniias.ru same-security-traffic permit inter-interface same-security-traffic permit intra-interface object network DMZ_NET subnet 192.168.111.0 255.255.255.0 object network INSIDE_NET subnet 192.168.20.0 255.255.255.0 object network 192.168.111.0 subnet 192.168.111.0 255.255.255.0 object network DMZ_NET2 subnet 192.168.111.0 255.255.255.0 description access in internet for net 111.0 object network INSIDE_NET2 subnet 192.168.20.0 255.255.255.0 description access in internet for net 20.0 object network dmz_in_inside subnet 192.168.111.0 255.255.255.0 object network dmz_in_inside2 subnet 192.168.111.0 255.255.255.0 object network pc-192.168.20.11 host 192.168.20.11 object network 192.168.111.11 host 192.168.111.11 object network DMZ_NET3 subnet 192.168.111.0 255.255.255.0 object-group icmp-type any description any icmp-object alternate-address access-list dmz_access_in extended permit ip object 192.168.111.0 217.148.217.224 255.255.255.240 access-list dmz_access_in extended permit ip any4 any4 access-list dmz_access_in extended permit ip 287.118.117.124 255.255.255.240 object 192.168.111.0 access-list dmz_access_in extended permit ip object 192.168.111.0 192.168.20.0 255.255.255.0 access-list dmz_access_in extended permit ip 192.168.20.0 255.255.255.0 object 192.168.111.0 access-list inside_access_in extended permit ip 192.168.111.0 255.255.255.0 any access-list inside_access_in extended permit ip object DMZ_NET object INSIDE_NET access-list inside_access_in extended permit ip object INSIDE_NET object DMZ_NET access-list inside_access_in extended permit ip any any access-list inside_access_in extended permit icmp any any object-group any access-list outside_access_in extended permit icmp any any echo-reply access-list outside_access_in extended deny ip any any access-list global_access extended permit ip any4 any4 pager lines 24 logging enable logging asdm informational mtu dmz 1500 mtu outside 1500 mtu net 1500 mtu inside 1500 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-792-152.bin asdm history enable arp timeout 14400 no arp permit-nonconnected nat (dmz,outside) source static DMZ_NET DMZ_NET destination static INSIDE_NET INSIDE_NET inactive nat (dmz,inside) source static DMZ_NET DMZ_NET destination static INSIDE_NET INSIDE_NET nat (dmz,outside) source dynamic any interface inactive ! object network DMZ_NET nat (dmz,dmz) dynamic interface object network DMZ_NET2 nat (dmz,outside) dynamic interface object network INSIDE_NET2 nat (inside,outside) dynamic interface object network DMZ_NET3 nat (dmz,inside) dynamic interface access-group inside_access_in in interface dmz access-group outside_access_in in interface outside access-group inside_access_in in interface inside route outside 0.0.0.0 0.0.0.0 287.118.117.125 1 timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy user-identity default-domain LOCAL aaa authentication ssh console LOCAL aaa authentication http console LOCAL aaa authorization command LOCAL http server enable http server idle-timeout 60 http server session-timeout 180 http 192.168.20.0 255.255.255.0 inside http 0.0.0.0 0.0.0.0 inside http 192.168.111.0 255.255.255.0 dmz http 192.168.90.0 255.255.255.0 net no snmp-server location no snmp-server contact crypto ipsec security-association pmtu-aging infinite crypto ca trustpoint _SmartCallHome_ServerCA crl configure crypto ca trustpool policy telnet 0.0.0.0 0.0.0.0 inside telnet timeout 5 ssh stricthostkeycheck ssh 192.168.111.0 255.255.255.0 dmz ssh 192.168.90.0 255.255.255.0 net ssh 192.168.20.0 255.255.255.0 inside ssh timeout 60 ssh key-exchange group dh-group1-sha1 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept username admin password ................ encrypted privilege 15 username root password ................... encrypted privilege 15 ! class-map global-class match default-inspection-traffic ! ! policy-map global-policy class global-class inspect dns inspect esmtp inspect ftp inspect h323 h225 inspect h323 ras inspect http inspect icmp inspect ip-options inspect netbios inspect rsh inspect rtsp inspect sip inspect sqlnet inspect sunrpc inspect tftp inspect xdmcp ! service-policy global-policy global prompt hostname context call-home reporting anonymous call-home profile CiscoTAC-1 no active destination address http https://tools.cisco.com/its/service/odd ... DCEService destination address email callhome@cisco.com destination transport-method http subscribe-to-alert-group diagnostic subscribe-to-alert-group environment subscribe-to-alert-group inventory periodic monthly subscribe-to-alert-group configuration periodic monthly subscribe-to-alert-group telemetry periodic daily1 : end |
Автор: | aliotru [ 10 фев 2021, 08:22 ] |
Заголовок сообщения: | Re: ASA 5510, трафик из DMZ в inside и обратно |
palyl писал(а): С Cisco только начал разбираться. так может есть смысл тренироваться на тестовом стенде а не в продакшене? palyl писал(а): Понимаю, что конфиг у меня так себе. хорошо, что вы это понимаете)) В случае вашего конфига, вам наверное проще будет нанять того, кто настроит вам все хотелки. 1. приведите в порядок интерфейсы 2. обратите внимание на свои acl - palyl писал(а): access-list dmz_access_in extended permit ip object 192.168.111.0 217.148.217.224 255.255.255.240 access-list dmz_access_in extended permit ip any4 any4 access-list dmz_access_in extended permit ip 287.118.117.124 255.255.255.240 object 192.168.111.0 access-list dmz_access_in extended permit ip object 192.168.111.0 192.168.20.0 255.255.255.0 access-list dmz_access_in extended permit ip 192.168.20.0 255.255.255.0 object 192.168.111.0 например, здесь, на вторую строку, которая разрешает все. Так лучше не делать, если не знаете к чему это приведет Уберите все acl, nat и сделайте всего четыре действия - нат туда и обратно, acl туда и обратно. И постарайтесь не использовать учетки с именами root, admin и тд. |
Автор: | palyl [ 10 фев 2021, 10:29 ] |
Заголовок сообщения: | Re: ASA 5510, трафик из DMZ в inside и обратно |
aliotru писал(а): palyl писал(а): С Cisco только начал разбираться. Цитата: так может есть смысл тренироваться на тестовом стенде а не в продакшене? Можно сказать, что это тестовый стенд и кроме инета он толком не куда не смотрит. В dmz и в inside воткнуто по одному ноуту palyl писал(а): Понимаю, что конфиг у меня так себе. Цитата: хорошо, что вы это понимаете)) В случае вашего конфига, вам наверное проще будет нанять того, кто настроит вам все хотелки. Если бы я хотел нанять, то я бы сюда не обратился. Хотелось бы самому разобраться. Если можете порекомендовать какие-то приемлимые книги(именно по asa), буду очень благодарен Цитата: 1. приведите в порядок интерфейсы а что с интерфейсами не так? Цитата: 2. обратите внимание на свои acl - palyl писал(а): access-list dmz_access_in extended permit ip object 192.168.111.0 217.148.217.217 255.255.255.240 access-list dmz_access_in extended permit ip any4 any4 access-list dmz_access_in extended permit ip 287.118.117.124 255.255.255.240 object 192.168.111.0 access-list dmz_access_in extended permit ip object 192.168.111.0 192.168.20.0 255.255.255.0 access-list dmz_access_in extended permit ip 192.168.20.0 255.255.255.0 object 192.168.111.0 например, здесь, на вторую строку, которая разрешает все. Так лучше не делать, если не знаете к чему это приведет Я знаю к чему это может привести. Повторюсь - это тестовый стенд, который в сеть не смотрит Цитата: Уберите все acl, nat и сделайте всего четыре действия - нат туда и обратно, acl туда и обратно. Не могли бы пример привести Цитата: И постарайтесь не использовать учетки с именами root, admin и тд. Это соответственно тоже поменятся. |
Автор: | palyl [ 15 фев 2021, 10:03 ] |
Заголовок сообщения: | Re: ASA 5510, трафик из DMZ в inside и обратно |
Народ, может быть кто-то подскажет что конкретно нужно сделать или книгу по советуйте |
Автор: | Maxische [ 17 фев 2021, 10:45 ] |
Заголовок сообщения: | Re: ASA 5510, трафик из DMZ в inside и обратно |
Я бы сохранил текущую конфигу в файл, затем сбросил к фабричным, и заново настроил через GUI. Он хоть и совсем не то, что консоль, для определенных ситуаций вполне пойдёт. |
Автор: | palyl [ 17 фев 2021, 11:26 ] |
Заголовок сообщения: | Re: ASA 5510, трафик из DMZ в inside и обратно |
Maxische писал(а): Я бы сохранил текущую конфигу в файл, затем сбросил к фабричным, и заново настроил через GUI. Он хоть и совсем не то, что консоль, для определенных ситуаций вполне пойдёт. Я уже пробывал, но что-то все равно у меня идет не так. На данный момент добился того, чтобы можно было из DMZ в inside ходить, а вот наоборот пока не работает. Может быть кто-нибудь книжку порекомендует доходчивую, лучше конечно на русском, но если нет, то и английском сойдет |
Автор: | lynx1402 [ 23 фев 2021, 09:16 ] |
Заголовок сообщения: | Re: ASA 5510, трафик из DMZ в inside и обратно |
Книжек на русском по asa нет, по крайней мере ни разу не попадались. Из inside ходить куда? только в dmz или не только? Вообще сбросить acl, проблема в них, изучите acl как работает и синтаксис... к примеру вот это access-list inside_access_in extended permit ip object DMZ_NET object INSIDE_NET --бред По правилам NAT тоже... зачем к примеру натить dmz в inside? Так что думаю стоит начать с изучения NAT и acl... Если нет понимания как это работает в принципе, то и ASDM не спасет, тут или разбираться или нанимать человека для настройки или... кериоподобные штуки... Есть и еще косяки, так что, как уже сказали выше, сбросить в дефолт для начала и изучать матчасть |
Автор: | aliotru [ 24 фев 2021, 11:14 ] |
Заголовок сообщения: | Re: ASA 5510, трафик из DMZ в inside и обратно |
Код: interface Ethernet0 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.252 ! interface Ethernet1 nameif dmz security-level 50 ip address 172.16.10.1 255.255.255.0 access-list dmz_access_in extended permit icmp any4 any4 access-group dmz_access_in in interface dmz минимальная конфигурация на чистой АСА при которой хосты из DMZ видят INSIDE и наоборот Код: Sending 5, 100-byte ICMP Echos to 172.16.10.100, timeout is 2 seconds: Packet sent with a source address of 192.168.1.2 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms --- Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds: Packet sent with a source address of 172.16.10.100 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms книжек нет - есть интернет. Статьи на любой вкус - и грамотные, и ширпотреб. Либо cisco.com )) |
Автор: | palyl [ 24 фев 2021, 13:56 ] |
Заголовок сообщения: | Re: ASA 5510, трафик из DMZ в inside и обратно |
lynx1402 писал(а): Книжек на русском по asa нет, по крайней мере ни разу не попадались. Из inside ходить куда? только в dmz или не только? Вообще сбросить acl, проблема в них, изучите acl как работает и синтаксис... к примеру вот это access-list inside_access_in extended permit ip object DMZ_NET object INSIDE_NET --бред По правилам NAT тоже... зачем к примеру натить dmz в inside? Так что думаю стоит начать с изучения NAT и acl... Если нет понимания как это работает в принципе, то и ASDM не спасет, тут или разбираться или нанимать человека для настройки или... кериоподобные штуки... Есть и еще косяки, так что, как уже сказали выше, сбросить в дефолт для начала и изучать матчасть Может быть тогда книжку на английском подскажите? acl буду мучить, точнее видимо скину все на заводские и начну по новой |
Автор: | palyl [ 24 фев 2021, 13:57 ] |
Заголовок сообщения: | Re: ASA 5510, трафик из DMZ в inside и обратно |
aliotru писал(а): Код: interface Ethernet0 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.252 ! interface Ethernet1 nameif dmz security-level 50 ip address 172.16.10.1 255.255.255.0 access-list dmz_access_in extended permit icmp any4 any4 access-group dmz_access_in in interface dmz минимальная конфигурация на чистой АСА при которой хосты из DMZ видят INSIDE и наоборот Код: Sending 5, 100-byte ICMP Echos to 172.16.10.100, timeout is 2 seconds: Packet sent with a source address of 192.168.1.2 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms --- Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds: Packet sent with a source address of 172.16.10.100 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms книжек нет - есть интернет. Статьи на любой вкус - и грамотные, и ширпотреб. Либо cisco.com )) Попробую данный конфиг. Спасибо |
Автор: | palyl [ 24 фев 2021, 16:28 ] |
Заголовок сообщения: | Re: ASA 5510, трафик из DMZ в inside и обратно |
Вроде все полностью очистил, но пинги все равно не проходят Из 20.11 в 111.11 не идут и в обратном порядке тоже не идут ciscoasaspb2(config)# sh run : Saved : : Serial Number: JMX1110L0FM : Hardware: ASA5510, 1024 MB RAM, CPU Pentium 4 Celeron 1600 MHz : ASA Version 9.1(7)32 ! hostname ciscoasaspb2 domain-name spbvniias.ru enable password 4wW1ZxlzMDz/EaJX encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Ethernet0/0 nameif dmz security-level 50 ip address 192.168.111.1 255.255.255.0 ospf cost 10 ! interface Ethernet0/1 shutdown nameif outside security-level 0 ip address ***.***.***.*** 255.255.255.240 ospf cost 10 ! interface Ethernet0/2 nameif net security-level 100 ip address 192.168.90.85 255.255.255.0 ! interface Ethernet0/3 nameif inside security-level 100 ip address 192.168.20.1 255.255.255.0 ospf cost 10 ! interface Management0/0 shutdown no nameif no security-level no ip address ! boot system disk0:/asa917-32-k8.bin boot system disk0:/asa723-k8.bin ftp mode passive dns server-group DefaultDNS domain-name ******.ru same-security-traffic permit inter-interface same-security-traffic permit intra-interface object network dmz object network dmz10 access-list dmz_access_in extended permit icmp any4 any4 echo-reply pager lines 24 logging enable logging asdm informational mtu dmz 1500 mtu outside 1500 mtu net 1500 mtu inside 1500 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-792-152.bin asdm history enable arp timeout 14400 no arp permit-nonconnected access-group dmz_access_in in interface dmz route outside 0.0.0.0 0.0.0.0 ***.***.***.*** 1 timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy user-identity default-domain LOCAL aaa authentication ssh console LOCAL aaa authentication http console LOCAL aaa authorization command LOCAL http server enable http server idle-timeout 60 http server session-timeout 180 http 192.168.20.0 255.255.255.0 inside http 0.0.0.0 0.0.0.0 inside http 192.168.90.0 255.255.255.0 net no snmp-server location no snmp-server contact crypto ipsec security-association pmtu-aging infinite crypto ca trustpoint _SmartCallHome_ServerCA crl configure crypto ca trustpool policy telnet 0.0.0.0 0.0.0.0 inside telnet timeout 5 ssh stricthostkeycheck ssh 192.168.90.0 255.255.255.0 net ssh 192.168.20.0 255.255.255.0 inside ssh timeout 60 ssh key-exchange group dh-group1-sha1 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept username admin password lpyU52GIG.eweRrJ encrypted privilege 15 username root password HGcYUSEaHzEjXtRv encrypted privilege 15 ! ! prompt hostname context call-home reporting anonymous call-home profile CiscoTAC-1 no active destination address http https://tools.cisco.com/its/service/odd ... DCEService destination address email callhome@cisco.com destination transport-method http subscribe-to-alert-group diagnostic subscribe-to-alert-group environment subscribe-to-alert-group inventory periodic monthly subscribe-to-alert-group configuration periodic monthly subscribe-to-alert-group telemetry periodic daily Cryptochecksum:b7119648e8a446602b86ae66f36ddcbd : end |
Автор: | aliotru [ 24 фев 2021, 17:06 ] |
Заголовок сообщения: | Re: ASA 5510, трафик из DMZ в inside и обратно |
а маршруты то точно есть? |
Автор: | palyl [ 24 фев 2021, 17:45 ] |
Заголовок сообщения: | Re: ASA 5510, трафик из DMZ в inside и обратно |
aliotru писал(а): а маршруты то точно есть? кроме на outside, других маршрутов нет. Я попытался сделать вот так, но он начал ругаться route dmz 192.168.111.0 255.255.255.0 192.168.20.1 |
Автор: | AlexNiko [ 24 фев 2021, 19:36 ] |
Заголовок сообщения: | Re: ASA 5510, трафик из DMZ в inside и обратно |
Перестаньте мучать ASA через CLI. ASDM - ваше все. |
Автор: | aliotru [ 25 фев 2021, 10:34 ] |
Заголовок сообщения: | Re: ASA 5510, трафик из DMZ в inside и обратно |
я имел ввиду маршруты на клиентах в указанных подсетях |
Автор: | palyl [ 25 фев 2021, 10:38 ] |
Заголовок сообщения: | Re: ASA 5510, трафик из DMZ в inside и обратно |
aliotru писал(а): я имел ввиду маршруты на клиентах в указанных подсетях Прописать конечно могу, но вообще я расчитывал, что asa сама маршрутизировать будет. У меня такое ощущение, что она пинги тупо не пускает |
Автор: | aliotru [ 25 фев 2021, 10:51 ] |
Заголовок сообщения: | Re: ASA 5510, трафик из DMZ в inside и обратно |
с клиентов покажите (выберите по вкусу клиентского устройства) route route print sh ip ro |
Автор: | palyl [ 25 фев 2021, 11:11 ] | ||
Заголовок сообщения: | Re: ASA 5510, трафик из DMZ в inside и обратно | ||
aliotru писал(а): с клиентов покажите (выберите по вкусу клиентского устройства) route route print sh ip ro Во вложении, но это ничего не меняет В логах асы пишет вот так 3 Feb 25 2021 08:00:07 313001 192.168.20.11 Denied ICMP type=0, code=0 from 192.168.20.11 on interface inside
|
Автор: | palyl [ 25 фев 2021, 12:30 ] |
Заголовок сообщения: | Re: ASA 5510, трафик из DMZ в inside и обратно |
На данный момент у меня пошли пинги, но почему-то только из DMZ в INSIDE, в обратную сторону не идут. Может кто еще что-нибудь предложит? ciscoasaspb2(config)# sh run : Saved : : Serial Number: JMX1110L0FM : Hardware: ASA5510, 1024 MB RAM, CPU Pentium 4 Celeron 1600 MHz : ASA Version 9.1(7)32 ! hostname ciscoasaspb2 domain-name spbvniias.ru enable password 4wW1ZxlzMDz/EaJX encrypted passwd 2KFQnbNIdI.2KYOU encrypted multicast-routing names ! interface Ethernet0/0 nameif dmz security-level 50 ip address 192.168.111.1 255.255.255.0 ospf cost 10 ! interface Ethernet0/1 shutdown nameif outside security-level 0 ip address *.*.*.* 255.255.255.240 ospf cost 10 ! interface Ethernet0/2 nameif net security-level 100 ip address 192.168.90.85 255.255.255.0 ! interface Ethernet0/3 nameif inside security-level 100 ip address 192.168.20.1 255.255.255.0 ospf cost 10 ! interface Management0/0 shutdown no nameif no security-level no ip address ! boot system disk0:/asa917-32-k8.bin boot system disk0:/asa723-k8.bin ftp mode passive dns server-group DefaultDNS domain-name spbvniias.ru same-security-traffic permit inter-interface same-security-traffic permit intra-interface object network DMZ_NET subnet 192.168.111.0 255.255.255.0 access-list dmz_access_in extended permit icmp any any access-list dmz_access_in extended permit ip any any access-list inside_access_in extended permit icmp any any access-list inside_access_in extended permit ip any any pager lines 24 logging enable logging asdm informational mtu dmz 1500 mtu outside 1500 mtu net 1500 mtu inside 1500 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-792-152.bin asdm history enable arp timeout 14400 no arp permit-nonconnected ! object network DMZ_NET nat (any,inside) dynamic interface access-group dmz_access_in in interface dmz access-group inside_access_in in interface inside ! router rip ! route outside 0.0.0.0 0.0.0.0 *.*.*.* 1 timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy user-identity default-domain LOCAL aaa authentication ssh console LOCAL aaa authentication http console LOCAL aaa authorization command LOCAL http server enable http server idle-timeout 60 http server session-timeout 180 http 192.168.20.0 255.255.255.0 inside http 0.0.0.0 0.0.0.0 inside http 192.168.90.0 255.255.255.0 net no snmp-server location no snmp-server contact crypto ipsec security-association pmtu-aging infinite crypto ca trustpoint _SmartCallHome_ServerCA crl configure crypto ca trustpool policy telnet 0.0.0.0 0.0.0.0 inside telnet timeout 5 ssh stricthostkeycheck ssh 192.168.90.0 255.255.255.0 net ssh 192.168.20.0 255.255.255.0 inside ssh timeout 60 ssh key-exchange group dh-group1-sha1 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept username admin password lpyU52GIG.eweRrJ encrypted privilege 15 username root password HGcYUSEaHzEjXtRv encrypted privilege 15 ! class-map global-class match default-inspection-traffic ! ! policy-map global_policy policy-map global-policy class global-class inspect dns inspect ftp inspect http inspect icmp inspect icmp error inspect netbios inspect rsh inspect rtsp ! service-policy global-policy global prompt hostname context call-home reporting anonymous call-home profile CiscoTAC-1 no active destination address http https://tools.cisco.com/its/service/odd ... DCEService destination address email callhome@cisco.com destination transport-method http subscribe-to-alert-group diagnostic subscribe-to-alert-group environment subscribe-to-alert-group inventory periodic monthly subscribe-to-alert-group configuration periodic monthly subscribe-to-alert-group telemetry periodic daily Cryptochecksum:2e73fec2b390be4d91e2411ed5e2ea88 : end ciscoasaspb2(config)# |
Автор: | lynx1402 [ 25 фев 2021, 19:17 ] |
Заголовок сообщения: | Re: ASA 5510, трафик из DMZ в inside и обратно |
Если вот так Код: access-list dmz_access_in extended permit ip any any И зачем вот это Код: object network DMZ_NET nat (any,inside) dynamic interface |
Автор: | palyl [ 25 фев 2021, 19:21 ] |
Заголовок сообщения: | Re: ASA 5510, трафик из DMZ в inside и обратно |
lynx1402 писал(а): Если вот так Код: access-list dmz_access_in extended permit ip any any Это пока тестовый вариант И зачем вот это Код: object network DMZ_NET nat (any,inside) dynamic interface Без этого не работало. |
Автор: | root99 [ 25 фев 2021, 19:43 ] |
Заголовок сообщения: | Re: ASA 5510, трафик из DMZ в inside и обратно |
если стоит задача ходит в обе стороны между DMZ и inside - тогда просто поставьте security level 100 и будет вам счастье - это выражение полный бред nat (any,inside) dynamic interface - зачем вам НАТ внутри..... |
Автор: | palyl [ 25 фев 2021, 19:52 ] |
Заголовок сообщения: | Re: ASA 5510, трафик из DMZ в inside и обратно |
root99 писал(а): если стоит задача ходит в обе стороны между DMZ и inside - тогда просто поставьте security level 100 и будет вам счастье - это выражение полный бред nat (any,inside) dynamic interface - зачем вам НАТ внутри..... Не спорю, видимо это бред. Если Вы не заметили, то Level 100 как раз стоит на интерфейсе inside, но пинги почему-то в инсайд не идут, а вот из inside в dmz идут. От сюда и вопрос, что я не так сделал? |
Автор: | root99 [ 25 фев 2021, 23:03 ] |
Заголовок сообщения: | Re: ASA 5510, трафик из DMZ в inside и обратно |
всё правильно с интерфейса с более низким security level вы не можете ничего сделать - а наооборот можете с более высокого на низкий в этом то и смысл этих уровней... |
Автор: | palyl [ 25 фев 2021, 23:07 ] |
Заголовок сообщения: | Re: ASA 5510, трафик из DMZ в inside и обратно |
root99 писал(а): всё правильно с интерфейса с более низким security level вы не можете ничего сделать - а наооборот можете с более высокого на низкий в этом то и смысл этих уровней... М.б. подскажите тогда как сделать, чтобы можно было ходить в обе стороны? |
Страница 1 из 2 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |