Опередил
Не понятно только, как раньше пинговалось
Видимо, отрабатываем прокси-арп?
| Anticisco https://anticisco.ru/forum/ |
|
| Помогите начинающему с ASой.. https://anticisco.ru/forum/viewtopic.php?f=8&t=360 |
Страница 1 из 1 |
| Автор: | Vandamme77 [ 05 ноя 2009, 10:56 ] |
| Заголовок сообщения: | Помогите начинающему с ASой.. |
Привет всем. Начал ставить 5520 и наткнулся на такую ситуацию. Аса в роутинг моде. Интерфейсы Inside 10.161.161.254 255.255.252.0 Seclevel 100, Dmz 10.161.31.5 255.255.255.0 SecLevel 50. Natа нет, no nat control. Все всем разрешено (ip, udp, tcp, icmp). Пингую из инсайда с 10.161.162.72 в дмз адрес 10.161.31.8, все ок. Добавляю статический маршрут route Inside 10.161.31.8 255.255.255.255 10.161.161.69. Пинг пропадает, а в сислоге появляеться такая запись Deny inbound icmp src inside:10.161.162.72 dst inside:10.161.31.8 (type 8, code 0) Маршрут удаляю - снова все в порядке. Как с этим бороться и куда смотреть? |
|
| Автор: | Hando [ 05 ноя 2009, 12:24 ] |
| Заголовок сообщения: | Re: Помогите начинающему с ASой.. |
у вас с инасайд интерфейс на инсайд и уходит. Те аса по идеи должна слать редирект. По дефолту с одного и того же интерфейса принимать и отсылать аса не умеет. Начиная с 7.2 можно ей сказать same-security-traffic permit intra-interface что разрешить. Но я б переделал дейзайн - мне не нравится любой решение где задействован icmp redirect ( потенциально ). |
|
| Автор: | Fedia [ 05 ноя 2009, 12:26 ] |
| Заголовок сообщения: | Re: Помогите начинающему с ASой.. |
Опередил Не понятно только, как раньше пинговалось Видимо, отрабатываем прокси-арп?
|
|
| Автор: | Hando [ 05 ноя 2009, 12:29 ] |
| Заголовок сообщения: | Re: Помогите начинающему с ASой.. |
Не там адрес в ДМЗ должен быть тип с инсайда в дмз все норм, потом его статикой /32 через инсайд обратно пустили. Но говорю - дезайн странный какой то
|
|
| Автор: | Fedia [ 05 ноя 2009, 12:30 ] |
| Заголовок сообщения: | Re: Помогите начинающему с ASой.. |
А, да, туплю. Не понятно вообще, зачем такой редирект. Там прокся чтоли стоит? |
|
| Автор: | Vandamme77 [ 05 ноя 2009, 13:12 ] |
| Заголовок сообщения: | Re: Помогите начинающему с ASой.. |
Спасибо за участие. То что уходит с инсайда на инсайд я вижу, но почему? Должна же в дмз отправлять. 10.161.31.8 подключен со стороны дмз? same-security-traffic permit intra-interface и inter-interface выключено. arp-прокси отключен на всех интерфейсах. "зачем такой редирект" это про что? Про статику? |
|
| Автор: | Fedia [ 05 ноя 2009, 13:45 ] |
| Заголовок сообщения: | Re: Помогите начинающему с ASой.. |
ВОт эта строка route Inside 10.161.31.8 255.255.255.255 10.161.161.69 явно отправляет искать хост .8 за интерфейс Inside и явно отправляет на поиски через хост 10.161.161.69 По умолчанию, пакеты пришедшие и уходящие одного интерфейса на АСА запрещены. Поэтому дроп. Если разрешить (см. Hando), то пакет убежит обратно в Inside и потеряется навсегда. Я так понимаю, что такой задачи нет, а есть некое недопонимание процесса маршрутизации? |
|
| Автор: | Vandamme77 [ 05 ноя 2009, 14:10 ] |
| Заголовок сообщения: | Re: Помогите начинающему с ASой.. |
Да, недопонимание есть. Я тоже уже додумал что иммено из-за этой строки все и происходит...Получаеться, что аса любой пришедний на инсайд пакет, адресованый 31.8 отправит на маршрутизатор 161.69. А от нее требуется отправлять на 161.69 пакеты только ОТ адреса 31.8. А этого, как я понимаю, Аса не умеет ? |
|
| Автор: | Fedia [ 05 ноя 2009, 14:13 ] |
| Заголовок сообщения: | Re: Помогите начинающему с ASой.. |
Аз1: Маршрутизация ВСЕГДА идёт по адресу назначения. На всех без исключения маршрутизаторах. Везде указывается адрес НАЗНАЧЕНИЯ. Аз2: Маршрутизаторы умею маршрутизировать, учитывая адрес источника. Называется это Policy Based Routing (PBR). Аз3: ASA не умеет PBR |
|
| Автор: | Vandamme77 [ 05 ноя 2009, 14:44 ] |
| Заголовок сообщения: | Re: Помогите начинающему с ASой.. |
Спасибо Сергей. Возможности АСы переоценили.. |
|
| Автор: | Fedia [ 05 ноя 2009, 16:28 ] |
| Заголовок сообщения: | Re: Помогите начинающему с ASой.. |
Это, увы, типично. Не все циски одинаковы Многие привыкли думать про все устройства, как про маршрутизаторы, однако это часто приводит к разочарованию.А в чём состоят задача? МОжет быть ещё не все потеряно и можно таки решить при помощи АСЫ? |
|
| Автор: | Vandamme77 [ 06 ноя 2009, 11:12 ] |
| Заголовок сообщения: | Re: Помогите начинающему с ASой.. |
Да, я думаю ничего тут не сделаешь... В обоих сегментах стоят балансировщики ALteon. И требовалось трафик от определенных адресов отправлять на другие маршрутизаторы... Переделаем схему, на Асу оставим только фаерволинг и ипээсинг.. |
|
| Автор: | Vandamme77 [ 09 ноя 2009, 10:40 ] |
| Заголовок сообщения: | Re: Помогите начинающему с ASой.. |
Еще один вопрос возник... Как сделать время жизни tcp(или udp)-сесии больше...Искал искал, но пока не нашел... |
|
| Автор: | Hando [ 09 ноя 2009, 10:45 ] |
| Заголовок сообщения: | Re: Помогите начинающему с ASой.. |
http://www.cisco.com/en/US/docs/securit ... #wp1527234 ? |
|
| Автор: | Fedia [ 09 ноя 2009, 12:09 ] |
| Заголовок сообщения: | Re: Помогите начинающему с ASой.. |
Очень просто: командой timeout наберите команду timeout ? она вам покажет кучу параметров. |
|
| Автор: | Vandamme77 [ 09 ноя 2009, 14:00 ] |
| Заголовок сообщения: | Re: Помогите начинающему с ASой.. |
Ага, спасбо... |
|
| Автор: | Vandamme77 [ 12 ноя 2009, 12:54 ] |
| Заголовок сообщения: | Re: Помогите начинающему с ASой.. |
Очередной вопрос.. В syslog е часто появляеться такое сообщение "%ASA-4-733100: [ Scanning] drop rate-1 exceeded. Current burst rate is 13 per second, max configured rate is 10; Current average rate is 27 per second, max configured rate is 5; Cumulative total count is 16434" Это, я так понимаю от basic threat detection. Адреса, с которого якобы идет сканирование нет... Как определить откуда сканирование? Threat-detection rate уменьшать не хочу, хочу понять причину... |
|
| Автор: | Fedia [ 12 ноя 2009, 13:01 ] |
| Заголовок сообщения: | Re: Помогите начинающему с ASой.. |
Да, это он, basic threat ЧТобы меньше выскакивало, надо увеличить порог Только тут не сканирование, по-моему, а просто отброшенные сессии: ACL не пропускает или сессии такой нет. Сканирование - это продвинутый threat detection |
|
| Автор: | Vandamme77 [ 12 ноя 2009, 13:51 ] |
| Заголовок сообщения: | Re: Помогите начинающему с ASой.. |
ACL пропускают все всем, а вот сессий и правда иногда нет. Причем на любом интерфейсе, но чаще на инсайде. Дропов немного, пакетов 3-8 в секунду. Но это следующий вопрос, с кторым предстоит разобраться. Т.е. по поводу [Scanning] drop rate-1 exceeded не париться? Искать причину дальше.. |
|
| Автор: | Fedia [ 13 ноя 2009, 02:44 ] |
| Заголовок сообщения: | Re: Помогите начинающему с ASой.. |
Сессии могут дропаться и по дефолтному правилу (входящие сессии неявно запрещены) Я похоже сбил с толку вас: у вас есть строчки threat detect в конфиге? Похоже все таки это не basic, а как раз scanning. |
|
| Автор: | Vandamme77 [ 13 ноя 2009, 11:37 ] |
| Заголовок сообщения: | Re: Помогите начинающему с ASой.. |
no threat-detection basic-threat no threat-detection statistic tcp-intercept threat-detection statistics access-list Сканиннг трит не включен. Как бейсик трит выключил - сообщения приходить перестали. Сессии дропаються как No connection. Т.е. я так понимаю нет в таблице сессий такой.. |
|
| Автор: | Fedia [ 13 ноя 2009, 16:56 ] |
| Заголовок сообщения: | Re: Помогите начинающему с ASой.. |
Да, подглядел в талмуде: 733100 - это basic threat, 733101 - scanning-threat Меня смутило слово [scanning] в сообщении, хотя привык к [ACL Drop] Но оказалось, что такое сообщение тоже бывает
|
|
| Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|