Автор |
Сообщение |
Vandamme77
Зарегистрирован: 05 ноя 2009, 07:39 Сообщения: 32
|
Привет всем. Начал ставить 5520 и наткнулся на такую ситуацию. Аса в роутинг моде. Интерфейсы Inside 10.161.161.254 255.255.252.0 Seclevel 100, Dmz 10.161.31.5 255.255.255.0 SecLevel 50. Natа нет, no nat control. Все всем разрешено (ip, udp, tcp, icmp). Пингую из инсайда с 10.161.162.72 в дмз адрес 10.161.31.8, все ок. Добавляю статический маршрут route Inside 10.161.31.8 255.255.255.255 10.161.161.69. Пинг пропадает, а в сислоге появляеться такая запись Deny inbound icmp src inside:10.161.162.72 dst inside:10.161.31.8 (type 8, code 0) Маршрут удаляю - снова все в порядке. Как с этим бороться и куда смотреть?
|
05 ноя 2009, 10:56 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
у вас с инасайд интерфейс на инсайд и уходит. Те аса по идеи должна слать редирект. По дефолту с одного и того же интерфейса принимать и отсылать аса не умеет. Начиная с 7.2 можно ей сказать same-security-traffic permit intra-interface что разрешить. Но я б переделал дейзайн - мне не нравится любой решение где задействован icmp redirect ( потенциально ).
|
05 ноя 2009, 12:24 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Опередил Не понятно только, как раньше пинговалось Видимо, отрабатываем прокси-арп?
|
05 ноя 2009, 12:26 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
Не там адрес в ДМЗ должен быть тип с инсайда в дмз все норм, потом его статикой /32 через инсайд обратно пустили. Но говорю - дезайн странный какой то
|
05 ноя 2009, 12:29 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
А, да, туплю. Не понятно вообще, зачем такой редирект. Там прокся чтоли стоит?
|
05 ноя 2009, 12:30 |
|
|
Vandamme77
Зарегистрирован: 05 ноя 2009, 07:39 Сообщения: 32
|
Спасибо за участие. То что уходит с инсайда на инсайд я вижу, но почему? Должна же в дмз отправлять. 10.161.31.8 подключен со стороны дмз? same-security-traffic permit intra-interface и inter-interface выключено. arp-прокси отключен на всех интерфейсах. "зачем такой редирект" это про что? Про статику?
|
05 ноя 2009, 13:12 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
ВОт эта строка route Inside 10.161.31.8 255.255.255.255 10.161.161.69
явно отправляет искать хост .8 за интерфейс Inside и явно отправляет на поиски через хост 10.161.161.69
По умолчанию, пакеты пришедшие и уходящие одного интерфейса на АСА запрещены. Поэтому дроп. Если разрешить (см. Hando), то пакет убежит обратно в Inside и потеряется навсегда.
Я так понимаю, что такой задачи нет, а есть некое недопонимание процесса маршрутизации?
|
05 ноя 2009, 13:45 |
|
|
Vandamme77
Зарегистрирован: 05 ноя 2009, 07:39 Сообщения: 32
|
Да, недопонимание есть. Я тоже уже додумал что иммено из-за этой строки все и происходит... Получаеться, что аса любой пришедний на инсайд пакет, адресованый 31.8 отправит на маршрутизатор 161.69. А от нее требуется отправлять на 161.69 пакеты только ОТ адреса 31.8. А этого, как я понимаю, Аса не умеет ?
|
05 ноя 2009, 14:10 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Аз1:
Маршрутизация ВСЕГДА идёт по адресу назначения. На всех без исключения маршрутизаторах. Везде указывается адрес НАЗНАЧЕНИЯ.
Аз2:
Маршрутизаторы умею маршрутизировать, учитывая адрес источника. Называется это Policy Based Routing (PBR).
Аз3:
ASA не умеет PBR
|
05 ноя 2009, 14:13 |
|
|
Vandamme77
Зарегистрирован: 05 ноя 2009, 07:39 Сообщения: 32
|
Спасибо Сергей. Возможности АСы переоценили..
|
05 ноя 2009, 14:44 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Это, увы, типично. Не все циски одинаковы Многие привыкли думать про все устройства, как про маршрутизаторы, однако это часто приводит к разочарованию. А в чём состоят задача? МОжет быть ещё не все потеряно и можно таки решить при помощи АСЫ?
|
05 ноя 2009, 16:28 |
|
|
Vandamme77
Зарегистрирован: 05 ноя 2009, 07:39 Сообщения: 32
|
Да, я думаю ничего тут не сделаешь... В обоих сегментах стоят балансировщики ALteon. И требовалось трафик от определенных адресов отправлять на другие маршрутизаторы... Переделаем схему, на Асу оставим только фаерволинг и ипээсинг..
|
06 ноя 2009, 11:12 |
|
|
Vandamme77
Зарегистрирован: 05 ноя 2009, 07:39 Сообщения: 32
|
Еще один вопрос возник... Как сделать время жизни tcp(или udp)-сесии больше...Искал искал, но пока не нашел...
|
09 ноя 2009, 10:40 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
|
09 ноя 2009, 10:45 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Очень просто: командой timeout наберите команду timeout ? она вам покажет кучу параметров.
|
09 ноя 2009, 12:09 |
|
|
Vandamme77
Зарегистрирован: 05 ноя 2009, 07:39 Сообщения: 32
|
Ага, спасбо...
|
09 ноя 2009, 14:00 |
|
|
Vandamme77
Зарегистрирован: 05 ноя 2009, 07:39 Сообщения: 32
|
Очередной вопрос.. В syslog е часто появляеться такое сообщение "%ASA-4-733100: [ Scanning] drop rate-1 exceeded. Current burst rate is 13 per second, max configured rate is 10; Current average rate is 27 per second, max configured rate is 5; Cumulative total count is 16434"
Это, я так понимаю от basic threat detection. Адреса, с которого якобы идет сканирование нет... Как определить откуда сканирование? Threat-detection rate уменьшать не хочу, хочу понять причину...
|
12 ноя 2009, 12:54 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Да, это он, basic threat
ЧТобы меньше выскакивало, надо увеличить порог
Только тут не сканирование, по-моему, а просто отброшенные сессии: ACL не пропускает или сессии такой нет. Сканирование - это продвинутый threat detection
|
12 ноя 2009, 13:01 |
|
|
Vandamme77
Зарегистрирован: 05 ноя 2009, 07:39 Сообщения: 32
|
ACL пропускают все всем, а вот сессий и правда иногда нет. Причем на любом интерфейсе, но чаще на инсайде. Дропов немного, пакетов 3-8 в секунду. Но это следующий вопрос, с кторым предстоит разобраться. Т.е. по поводу [Scanning] drop rate-1 exceeded не париться? Искать причину дальше..
|
12 ноя 2009, 13:51 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Сессии могут дропаться и по дефолтному правилу (входящие сессии неявно запрещены)
Я похоже сбил с толку вас: у вас есть строчки threat detect в конфиге?
Похоже все таки это не basic, а как раз scanning.
|
13 ноя 2009, 02:44 |
|
|
Vandamme77
Зарегистрирован: 05 ноя 2009, 07:39 Сообщения: 32
|
no threat-detection basic-threat no threat-detection statistic tcp-intercept threat-detection statistics access-list Сканиннг трит не включен. Как бейсик трит выключил - сообщения приходить перестали. Сессии дропаються как No connection. Т.е. я так понимаю нет в таблице сессий такой..
|
13 ноя 2009, 11:37 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Да, подглядел в талмуде: 733100 - это basic threat, 733101 - scanning-threat Меня смутило слово [scanning] в сообщении, хотя привык к [ACL Drop] Но оказалось, что такое сообщение тоже бывает
|
13 ноя 2009, 16:56 |
|
|