The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Проброс адреса в ASA 5520"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Проброс адреса в ASA 5520"  +/
Сообщение от Denis_56 email(ok) on 07-Дек-09, 16:39 
Доброе время суток.
Есть ASA 5520, необходимо настроить проброс и защищаемой сети (DMZ) 192.168.2.0/29 в локальную сеть организации (Intranet) 192.168.0.0/23 сервер 192.168.2.2.

: Saved
: Written by enable_15 at 16:16:45.465 MSK/MSD Mon Dec 7 2009
!
ASA Version 7.2(4)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password esnK1QUZUSMWqF.I encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface GigabitEthernet0/0
duplex full
nameif Intranet
security-level 0
ip address 192.168.1.250 255.255.254.0
!
interface GigabitEthernet0/1
duplex full
nameif DMZ_1
security-level 50
ip address 192.168.2.1 255.255.255.248
!
interface GigabitEthernet0/2
duplex full
nameif DMZ_2
security-level 50
ip address 192.168.2.9 255.255.255.248
!
interface GigabitEthernet0/3
shutdown
no nameif
security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
interface GigabitEthernet1/0
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet1/1
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet1/2
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet1/3
shutdown
no nameif
no security-level
no ip address
!
banner login " Access for system administrators. "
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup Intranet
dns server-group DefaultDNS
name-server 192.168.0.100
name-server 192.168.0.99
name-server 192.168.1.6
domain-name default.domain.invalid
access-list access_in extended permit ip any any
access-list access_in extended permit icmp any any
access-list mypc extended permit ip 192.168.2.0 255.255.255.248 any
pager lines 24
logging asdm informational
mtu Intranet 1500
mtu DMZ_1 1500
mtu DMZ_2 1500
mtu management 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any Intranet
icmp permit any DMZ_1
icmp permit any DMZ_2
asdm image disk0:/asdm-524.bin
no asdm history enable
arp timeout 14400
global (Intranet) 1 192.168.1.251
nat (DMZ_1) 0 access-list mypc
nat (DMZ_1) 1 0.0.0.0 0.0.0.0
access-group access_in in interface Intranet
access-group access_in in interface DMZ_1
access-group access_in in interface DMZ_2
route Intranet 0.0.0.0 0.0.0.0 192.168.1.254 1
route Intranet 192.128.0.0 255.255.0.0 192.168.0.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
aaa authentication http console LOCAL
http server enable
http 192.168.0.0 255.255.255.0 Intranet
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
username admin password C8EoQ8NBOkN4XlvD encrypted privilege 15
username adddom password gsNIkvK0CzAkEpJ8 encrypted privilege 15
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:52696a70b95c966b639a5c4505ffd034
: end

При таком конфиге ни на сервер из Intranet, ни с сервера в Intranet пакеты не ходят, стоит убрать

access-list mypc extended permit ip 192.168.2.0 255.255.255.248 any
nat (DMZ_1) 0 access-list mypc

Как трафик начинает ходить с сервера в Intranet. Подскажите что не так, как сделать что бы можно было попасть и на сервер в защищаемой сети DMZ?

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проброс адреса в ASA 5520"  +/
Сообщение от Дмитрий email(??) on 07-Дек-09, 17:42 
Добрый день,

У вас конфиг немного наоборот.

1. Исправьте уровни безопастности для интерфейсов.

   Суть: 0 - самый низкий уровень защиты; 100 - самый высокий.
   Сейчас у вас наоборот, для Intranet стоит 0 (должно быть 100)

   Уровни используются для облегчения жизни, когда по-умолчанию разрешается трафик
   в направлении от уровней с большей безопастности к меньшим, но не наоборот.

2. Поправьте трансляцию.

   Суть: натятся локальные адреса во внешние.
   В данном случае DMZ более "внешний" адрес по отношению к локалке

global (Intranet) 1 192.168.1.251
nat (DMZ_1) 0 access-list mypc
nat (DMZ_1) 1 0.0.0.0 0.0.0.0

Будут натить весь DMZ в один адрес в локалке, что мне кажется неверно с точки зрения
безопастности, т.к. если предположить, что кто-то попадает в DMZ, то у него автоматически
появится NAT доступ в локалку.

Еще, конфиг сложно читать, т.к. адреса локалки и DMZ схожи в двух октетах. Лучше
разделять их более явно, возьмите 172.16-32.x.x или другую, вам самому будет проще читать.
И нарежте сетями /24, легче будет запускать. Как заработает - уменьшите.

Посмотрите примеры конфигураций на cisco.com

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Проброс адреса в ASA 5520"  +/
Сообщение от Дмитрий email(??) on 07-Дек-09, 17:47 
Забыл еще момент: NAT ID=0 используется для исключений из трансляции, т.е.
фактически описывает адреса, которые не должны транслироватся.
nat (DMZ_1) 0 access-list mypc

Когда вы убираете эту команду, трафик начинает натится командой  
nat (DMZ_1) 1 0.0.0.0 0.0.0.0

Но как уже бы сказно ранее, не надо натить из DMZ в локалку.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Проброс адреса в ASA 5520"  +/
Сообщение от Denis_56 email(ok) on 07-Дек-09, 18:22 
Я наверно не точно выразился, если вкратце у нас две сети сеть пользователей Intranet  и сеть серверов DMZ, больше сетей нет. Эти две сети разделяет ASA5520 (все это по проекту, не сам придумывал), все таки я предполагаю, что надо защитить серверную сеть DMZ от слишком умных пользователей (так как они и так имеют доступ друг у другу в локалке) и дать доступ только к серверу безопасности, для этого как я понимаю его интерфейс надо вынести за ASA или сделать проброс (в техническом задании к сожалению данный момент не расписан).


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Проброс адреса в ASA 5520"  +/
Сообщение от Дмитрий email(??) on 07-Дек-09, 21:35 
Если DMZ нужна для защиты от пользователей, тогда у вас все верно.
Сделайте проброс нужных вам портов из локалки в DMZ командой static.
Этим вы дополнительно ограничите любопытство пользователей набором
портов.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Проброс адреса в ASA 5520"  +/
Сообщение от Denis_56 email(ok) on 08-Дек-09, 13:14 
Спасибо за участи все заработало и со static, и с nat 0, проблема была в маршрутизации шлюза, а не в ASA.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру