Сообщения без ответов | Активные темы Текущее время: 01 июл 2022, 10:35



Эта тема закрыта, вы не можете редактировать и оставлять сообщения в ней.  [ Сообщений: 11 ] 
Помогите с ACL на ASA 5520 
Автор Сообщение

Зарегистрирован: 06 фев 2010, 15:36
Сообщения: 7
Я с Циской почти не знаком но вот сейчас довелось начать с ней работать. Основную часть мне настройл друг и обяснил что и как делать. Но выскочила проблемка а друг к сожелению не доступен а работку надо сдать до понедельника....В общем у меня почему-то не резолвяться ДНС сервера находящиися за ASA...Вот конфиг ассеss листа

Код:
ftp mode passive
access-list acl_out remark ACL IN on OUTSIDE INTERFACE
access-list acl_out extended permit icmp any any
access-list acl_out extended permit tcp any any eq ssh
access-list acl_out extended permit tcp any any eq https
access-list acl_out extended permit tcp any any eq www
access-list acl_out extended permit tcp any any eq 5900
access-list acl_out extended permit tcp any any eq 5901
access-list acl_out extended permit tcp any any eq domain
access-list acl_out extended permit udp any any eq domain
access-list acl_isnet remark ACL IN on ISNET INTERFACE
access-list acl_isnet extended permit icmp any any
access-list acl_isnet extended permit ip any any
access-list acl_prnet remark ACL IN on PRNET INTERFACE
access-list acl_prnet extended permit icmp any any
access-list acl_prnet extended permit ip any any
pager lines 24
logging asdm informational


Спасибо за любой совет.


06 фев 2010, 17:57
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
а можно схемку?


06 фев 2010, 19:26
Профиль

Зарегистрирован: 06 фев 2010, 15:36
Сообщения: 7
ISP Main ISP Backup
------------- ------------------
| |
| |
| |
---------------------- ----------
| Catalys 3750 | ----| ASA |
---------------------- ----------
|
|
|
--------------------
INT NET


Извините конечно за тупую схему ну сейчас в дороге и никак не могу нарисовать нормальную схему.
Бэкап канал от того же провайдера через HSRP.


06 фев 2010, 19:34
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
1. запрос не проходит из инета вовнутрь?
2. адреса у серверов глобальные?


06 фев 2010, 19:41
Профиль

Зарегистрирован: 06 фев 2010, 15:36
Сообщения: 7
Да адреса глобальные.

Скорее всего да.

Вот что дает сканирование nmap-ом

Код:
lordz@infiniti:~$ nmap -P0 193.104.211.81

Starting Nmap 5.00 ( http://nmap.org ) at 2010-02-06 19:47 EET
Interesting ports on 193.104.211.81:
Not shown: 998 filtered ports
PORT   STATE SERVICE
22/tcp open  ssh

Nmap done: 1 IP address (1 host up) scanned in 6.65 seconds


А вот когда захожу по ссх на сервер то то же самое сканирование дает мне что на самом сервере слушает и ДНС.


06 фев 2010, 20:48
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
странно. судя по аксесс-листу порт 21/ftp должен быть закрыт...

а можно выводы этих команд:

sh run static
sh run access-group


06 фев 2010, 20:51
Профиль

Зарегистрирован: 06 фев 2010, 15:36
Сообщения: 7
Вот что мы имеем

Код:
asa# sh run static     
asa# sh run access-group
access-group acl_out in interface outside
access-group acl_isnet in interface isnet
access-group acl_prnet in interface prnet


06 фев 2010, 21:01
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
глупый вопрос а из локалки сервер отвечает?


06 фев 2010, 23:14
Профиль

Зарегистрирован: 06 фев 2010, 15:36
Сообщения: 7
Ilya, спасибо...все было правельно на Циске...я туплю...траффик блокировал iptables на сервере.


06 фев 2010, 23:52
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
:) не за что, собственно


07 фев 2010, 10:59
Профиль

Зарегистрирован: 06 фев 2010, 15:36
Сообщения: 7
Проблема решена, топик можно закрыть и поместить в "Решенные Безопасность"


08 фев 2010, 13:05
Профиль
Показать сообщения за:  Поле сортировки  
Эта тема закрыта, вы не можете редактировать и оставлять сообщения в ней.   [ Сообщений: 11 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB