Anticisco https://anticisco.ru/forum/ |
|
Помогите с ACL на ASA 5520 https://anticisco.ru/forum/viewtopic.php?f=8&t=512 |
Страница 1 из 1 |
Автор: | LordZ [ 06 фев 2010, 17:57 ] |
Заголовок сообщения: | Помогите с ACL на ASA 5520 |
Я с Циской почти не знаком но вот сейчас довелось начать с ней работать. Основную часть мне настройл друг и обяснил что и как делать. Но выскочила проблемка а друг к сожелению не доступен а работку надо сдать до понедельника....В общем у меня почему-то не резолвяться ДНС сервера находящиися за ASA...Вот конфиг ассеss листа Код: ftp mode passive access-list acl_out remark ACL IN on OUTSIDE INTERFACE access-list acl_out extended permit icmp any any access-list acl_out extended permit tcp any any eq ssh access-list acl_out extended permit tcp any any eq https access-list acl_out extended permit tcp any any eq www access-list acl_out extended permit tcp any any eq 5900 access-list acl_out extended permit tcp any any eq 5901 access-list acl_out extended permit tcp any any eq domain access-list acl_out extended permit udp any any eq domain access-list acl_isnet remark ACL IN on ISNET INTERFACE access-list acl_isnet extended permit icmp any any access-list acl_isnet extended permit ip any any access-list acl_prnet remark ACL IN on PRNET INTERFACE access-list acl_prnet extended permit icmp any any access-list acl_prnet extended permit ip any any pager lines 24 logging asdm informational Спасибо за любой совет. |
Автор: | Ilya [ 06 фев 2010, 19:26 ] |
Заголовок сообщения: | Re: Помогите с ACL на ASA 5520 |
а можно схемку? |
Автор: | LordZ [ 06 фев 2010, 19:34 ] |
Заголовок сообщения: | Re: Помогите с ACL на ASA 5520 |
ISP Main ISP Backup ------------- ------------------ | | | | | | ---------------------- ---------- | Catalys 3750 | ----| ASA | ---------------------- ---------- | | | -------------------- INT NET Извините конечно за тупую схему ну сейчас в дороге и никак не могу нарисовать нормальную схему. Бэкап канал от того же провайдера через HSRP. |
Автор: | Ilya [ 06 фев 2010, 19:41 ] |
Заголовок сообщения: | Re: Помогите с ACL на ASA 5520 |
1. запрос не проходит из инета вовнутрь? 2. адреса у серверов глобальные? |
Автор: | LordZ [ 06 фев 2010, 20:48 ] |
Заголовок сообщения: | Re: Помогите с ACL на ASA 5520 |
Да адреса глобальные. Скорее всего да. Вот что дает сканирование nmap-ом Код: lordz@infiniti:~$ nmap -P0 193.104.211.81 Starting Nmap 5.00 ( http://nmap.org ) at 2010-02-06 19:47 EET Interesting ports on 193.104.211.81: Not shown: 998 filtered ports PORT STATE SERVICE 22/tcp open ssh Nmap done: 1 IP address (1 host up) scanned in 6.65 seconds А вот когда захожу по ссх на сервер то то же самое сканирование дает мне что на самом сервере слушает и ДНС. |
Автор: | Ilya [ 06 фев 2010, 20:51 ] |
Заголовок сообщения: | Re: Помогите с ACL на ASA 5520 |
странно. судя по аксесс-листу порт 21/ftp должен быть закрыт... а можно выводы этих команд: sh run static sh run access-group |
Автор: | LordZ [ 06 фев 2010, 21:01 ] |
Заголовок сообщения: | Re: Помогите с ACL на ASA 5520 |
Вот что мы имеем Код: asa# sh run static asa# sh run access-group access-group acl_out in interface outside access-group acl_isnet in interface isnet access-group acl_prnet in interface prnet |
Автор: | Ilya [ 06 фев 2010, 23:14 ] |
Заголовок сообщения: | Re: Помогите с ACL на ASA 5520 |
глупый вопрос а из локалки сервер отвечает? |
Автор: | LordZ [ 06 фев 2010, 23:52 ] |
Заголовок сообщения: | Re: Помогите с ACL на ASA 5520 |
Ilya, спасибо...все было правельно на Циске...я туплю...траффик блокировал iptables на сервере. |
Автор: | Ilya [ 07 фев 2010, 10:59 ] |
Заголовок сообщения: | Re: Помогите с ACL на ASA 5520 |
не за что, собственно |
Автор: | LordZ [ 08 фев 2010, 13:05 ] |
Заголовок сообщения: | Re: Помогите с ACL на ASA 5520 |
Проблема решена, топик можно закрыть и поместить в "Решенные Безопасность" |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |