Сообщения без ответов | Активные темы Текущее время: 01 июл 2022, 10:52



Эта тема закрыта, вы не можете редактировать и оставлять сообщения в ней.  [ Сообщений: 5 ] 
ASA5520 flow limit 
Автор Сообщение

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
Добрый день, коллеги.

моя многострадальная (неудачная что ли попалась) АСАшка снова чудит, уже второй раз. Смысл такой, настроены ряд трансляций:

Код:
nat (inside) 0 access-list NAT0
nat (inside) 1 access-list NAT
nat (outside) 0 access-list vpns
nat (outside) 5 access-list SMTP dns outside tcp 15000 500  udp 400

global (inside) 5 192.168.100.130
global (VTK) 1 interface
global (outside) 1 interface


В общем, смысл такой, что только одна трансляция имеет коннекшн-лимиты.
Раз в несколько дней (разное количество) асашка начинает применять эти лимиты ко всем остальным трансляциям, исключая nat 0. Что сразу выливается в плешь у меня на голове.
Спасает ребут.

для справки упомянутые списки NAT и SMTP:

Код:
access-list SMTP line 1 extended permit tcp any host 62.x.9.216 eq www (hitcnt=0) 0x76f67400
access-list SMTP line 2 extended permit tcp any host 62.x.9.216 eq https (hitcnt=0) 0x0c56b102
access-list SMTP line 3 extended permit tcp any host 62.x.9.216 eq 7143 (hitcnt=0) 0x637ac85f
access-list SMTP line 4 extended permit tcp any host 62.x.9.216 eq 7993 (hitcnt=0) 0x3d57d53d
access-list SMTP line 5 extended permit tcp any host 62.x.9.216 eq 7110 (hitcnt=0) 0xfe261e4d
access-list SMTP line 6 extended permit tcp any host 62.x.9.216 eq 7995 (hitcnt=0) 0x467afe73
access-list SMTP line 7 extended permit tcp any host 62.x.9.216 eq domain (hitcnt=0) 0x37613c5b
access-list SMTP line 8 extended permit udp any host 62.x.9.216 eq domain (hitcnt=0) 0xe0d6e927
access-list SMTP line 9 extended permit tcp any host 62.x.9.216 eq smtp (hitcnt=0) 0x9e331af3
access-list SMTP line 10 extended permit tcp any host 62.x.9.216 eq 2525 (hitcnt=0) 0xa119c712
access-list SMTP line 11 extended permit tcp any host 62.x.9.216 eq 7025 (hitcnt=0) 0xe496ef82


Код:
access-list NAT line 1 extended permit ip 192.168.2.0 255.255.255.0 any (hitcnt=0) 0xfd7cca37
access-list NAT line 2 extended permit ip 192.168.3.0 255.255.255.0 any (hitcnt=0) 0xfeefc4b0
access-list NAT line 3 extended permit ip 192.168.100.0 255.255.255.0 any (hitcnt=0) 0xd0ce34f9
access-list NAT line 4 extended permit ip 192.168.4.0 255.255.255.0 any (hitcnt=0) 0x11ad55e6
access-list NAT line 5 extended permit ip 192.168.10.0 255.255.255.0 any (hitcnt=0) 0x783edd7e
access-list NAT line 6 extended permit ip 172.16.0.0 255.255.0.0 any (hitcnt=0) 0xee5e2980
access-list NAT line 7 extended permit ip 172.17.0.0 255.255.0.0 any (hitcnt=0) 0xa85ea099
access-list NAT line 8 extended permit ip 192.168.230.0 255.255.255.0 any (hitcnt=0) 0xc0871b5b


адрес интерфейса outside - 62.x.9.220

Обновление с 8.0.4 до 8.0.5 не помогло. на 7.х откатываться не могу.

Собственно вопросов несколько:
1. Нет ли ошибки в конфигах?
2. Если нет, то в принципе можно сделать коннекшн-лимиты через policy-map. Какое из двух решений лучше?
3. Другие идеи?

Заранее спасибо.

С уважением,
Илья


05 фев 2010, 18:32
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Илюх, я мыслю так же: если гора не идёт к Магомету... Делаем set connection в политике и дело в шляпе. Должно быть :)

Кстати, вот это чето делает
nat (outside) 0 access-list vpns
?


05 фев 2010, 21:45
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
Fedia писал(а):
Илюх, я мыслю так же: если гора не идёт к Магомету... Делаем set connection в политике и дело в шляпе. Должно быть :)

Кстати, вот это чето делает
nat (outside) 0 access-list vpns
?

:) А зачем вообще два метода установки лимитов?

nat 0 на outside я делал для remote vpn клиентов. может зря. перестраховался просто


05 фев 2010, 21:57
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Дело у в том, что как ты помнишь nat 0 отрабатывает только в сторону интерфейсов с меньшей или такой же секурностью. Получается, что ты зря смущаешь железку.
Я бы убрал.


07 фев 2010, 12:25
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
Спасибо за науку, Сереж, убрал. Переделал на полиси-мап, полет нормальный.

Темку можно закрыть и перебросить в решенные по безопасности.


08 фев 2010, 17:00
Профиль
Показать сообщения за:  Поле сортировки  
Эта тема закрыта, вы не можете редактировать и оставлять сообщения в ней.   [ Сообщений: 5 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB