Anticisco https://anticisco.ru/forum/ |
|
ASA5520 flow limit https://anticisco.ru/forum/viewtopic.php?f=8&t=510 |
Страница 1 из 1 |
Автор: | Ilya [ 05 фев 2010, 18:32 ] |
Заголовок сообщения: | ASA5520 flow limit |
Добрый день, коллеги. моя многострадальная (неудачная что ли попалась) АСАшка снова чудит, уже второй раз. Смысл такой, настроены ряд трансляций: Код: nat (inside) 0 access-list NAT0 nat (inside) 1 access-list NAT nat (outside) 0 access-list vpns nat (outside) 5 access-list SMTP dns outside tcp 15000 500 udp 400 global (inside) 5 192.168.100.130 global (VTK) 1 interface global (outside) 1 interface В общем, смысл такой, что только одна трансляция имеет коннекшн-лимиты. Раз в несколько дней (разное количество) асашка начинает применять эти лимиты ко всем остальным трансляциям, исключая nat 0. Что сразу выливается в плешь у меня на голове. Спасает ребут. для справки упомянутые списки NAT и SMTP: Код: access-list SMTP line 1 extended permit tcp any host 62.x.9.216 eq www (hitcnt=0) 0x76f67400 access-list SMTP line 2 extended permit tcp any host 62.x.9.216 eq https (hitcnt=0) 0x0c56b102 access-list SMTP line 3 extended permit tcp any host 62.x.9.216 eq 7143 (hitcnt=0) 0x637ac85f access-list SMTP line 4 extended permit tcp any host 62.x.9.216 eq 7993 (hitcnt=0) 0x3d57d53d access-list SMTP line 5 extended permit tcp any host 62.x.9.216 eq 7110 (hitcnt=0) 0xfe261e4d access-list SMTP line 6 extended permit tcp any host 62.x.9.216 eq 7995 (hitcnt=0) 0x467afe73 access-list SMTP line 7 extended permit tcp any host 62.x.9.216 eq domain (hitcnt=0) 0x37613c5b access-list SMTP line 8 extended permit udp any host 62.x.9.216 eq domain (hitcnt=0) 0xe0d6e927 access-list SMTP line 9 extended permit tcp any host 62.x.9.216 eq smtp (hitcnt=0) 0x9e331af3 access-list SMTP line 10 extended permit tcp any host 62.x.9.216 eq 2525 (hitcnt=0) 0xa119c712 access-list SMTP line 11 extended permit tcp any host 62.x.9.216 eq 7025 (hitcnt=0) 0xe496ef82 Код: access-list NAT line 1 extended permit ip 192.168.2.0 255.255.255.0 any (hitcnt=0) 0xfd7cca37 access-list NAT line 2 extended permit ip 192.168.3.0 255.255.255.0 any (hitcnt=0) 0xfeefc4b0 access-list NAT line 3 extended permit ip 192.168.100.0 255.255.255.0 any (hitcnt=0) 0xd0ce34f9 access-list NAT line 4 extended permit ip 192.168.4.0 255.255.255.0 any (hitcnt=0) 0x11ad55e6 access-list NAT line 5 extended permit ip 192.168.10.0 255.255.255.0 any (hitcnt=0) 0x783edd7e access-list NAT line 6 extended permit ip 172.16.0.0 255.255.0.0 any (hitcnt=0) 0xee5e2980 access-list NAT line 7 extended permit ip 172.17.0.0 255.255.0.0 any (hitcnt=0) 0xa85ea099 access-list NAT line 8 extended permit ip 192.168.230.0 255.255.255.0 any (hitcnt=0) 0xc0871b5b адрес интерфейса outside - 62.x.9.220 Обновление с 8.0.4 до 8.0.5 не помогло. на 7.х откатываться не могу. Собственно вопросов несколько: 1. Нет ли ошибки в конфигах? 2. Если нет, то в принципе можно сделать коннекшн-лимиты через policy-map. Какое из двух решений лучше? 3. Другие идеи? Заранее спасибо. С уважением, Илья |
Автор: | Fedia [ 05 фев 2010, 21:45 ] |
Заголовок сообщения: | Re: ASA5520 flow limit |
Илюх, я мыслю так же: если гора не идёт к Магомету... Делаем set connection в политике и дело в шляпе. Должно быть Кстати, вот это чето делает nat (outside) 0 access-list vpns ? |
Автор: | Ilya [ 05 фев 2010, 21:57 ] |
Заголовок сообщения: | Re: ASA5520 flow limit |
Fedia писал(а): Илюх, я мыслю так же: если гора не идёт к Магомету... Делаем set connection в политике и дело в шляпе. Должно быть Кстати, вот это чето делает nat (outside) 0 access-list vpns ? А зачем вообще два метода установки лимитов? nat 0 на outside я делал для remote vpn клиентов. может зря. перестраховался просто |
Автор: | Fedia [ 07 фев 2010, 12:25 ] |
Заголовок сообщения: | Re: ASA5520 flow limit |
Дело у в том, что как ты помнишь nat 0 отрабатывает только в сторону интерфейсов с меньшей или такой же секурностью. Получается, что ты зря смущаешь железку. Я бы убрал. |
Автор: | Ilya [ 08 фев 2010, 17:00 ] |
Заголовок сообщения: | Re: ASA5520 flow limit |
Спасибо за науку, Сереж, убрал. Переделал на полиси-мап, полет нормальный. Темку можно закрыть и перебросить в решенные по безопасности. |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |