Ситуация следующая. Айпишники в сети раздаются динамически. Нужно сделать так, чтобы в сеть пускались только заданные мак адреса. Как это на пиксе сделать? Подскажите пожалуйста
» Настройка Cisco PIX Firewall / ASA
enti
вообще это вкуснее делать на коммутаторах доступа, например, через port-security. На L3-устройствах это как бы не предусмотрено, но реализовать можно посредством для примера arp + acl, но выглядеть это будет некашерно.
вообще это вкуснее делать на коммутаторах доступа, например, через port-security. На L3-устройствах это как бы не предусмотрено, но реализовать можно посредством для примера arp + acl, но выглядеть это будет некашерно.
res2001
Это примерно выглядит так?
access-list inside_access_in permit tcp interface inside interface outside
access-list inside_access_in permit tcp interface outside interface inside
access-list outside_access_out permit tcp interface inside interface outside
access-list outside_access_out permit tcp interface outside interface inside
Это примерно выглядит так?
access-list inside_access_in permit tcp interface inside interface outside
access-list inside_access_in permit tcp interface outside interface inside
access-list outside_access_out permit tcp interface inside interface outside
access-list outside_access_out permit tcp interface outside interface inside
спасибо. попробую. Просто нужно фильтрацию по макам сделать. вот выбираю способ. Но это в другой топик разговор ))
Isyaslav
access-list inside_access_in permit ip any any
access-list inside_access_out permit ip any any
access-list outside_access_in permit ip any any
access-list outside_access_out permit ip any any
access-list inside_access_in permit ip any any
access-list inside_access_out permit ip any any
access-list outside_access_in permit ip any any
access-list outside_access_out permit ip any any
res2001
Все пингуется все замечательно...
только я малость по другому сделал
access-list OUTSIDE-IN permit icmp 192.168.20.0 255.255.254.0 192.168.4.0 255.255.254.0
static (inside,outside) 192.168.4.0 192.168.4.0 netmask 255.255.254.0 0 0
access-group OUTSIDE-IN in interface outside
На самом деле мне надо настроить с помощю циски трансляцию. У нас есть удаленный офис, в другом городе, со своей сеткой и выходом через ADSL в интеернет (имеет свой глобальный ip адресс (допустим это будет xxx.xxx.20.10)). Вообщем Cisco будет находится в этом удаленном офисе. Теперь, как мне его настроить так, что бы мы могли подключить, например, удаленный рабочий стол, Radmin, или просмотреть IP камеры, грубо говоря, пробросить маршрут с удаленного офиса (ip xxx.xxx.20.10:порт) на наш офис (ip yyy.yyy.4.10:порт)
Все пингуется все замечательно...
только я малость по другому сделал
access-list OUTSIDE-IN permit icmp 192.168.20.0 255.255.254.0 192.168.4.0 255.255.254.0
static (inside,outside) 192.168.4.0 192.168.4.0 netmask 255.255.254.0 0 0
access-group OUTSIDE-IN in interface outside
На самом деле мне надо настроить с помощю циски трансляцию. У нас есть удаленный офис, в другом городе, со своей сеткой и выходом через ADSL в интеернет (имеет свой глобальный ip адресс (допустим это будет xxx.xxx.20.10)). Вообщем Cisco будет находится в этом удаленном офисе. Теперь, как мне его настроить так, что бы мы могли подключить, например, удаленный рабочий стол, Radmin, или просмотреть IP камеры, грубо говоря, пробросить маршрут с удаленного офиса (ip xxx.xxx.20.10:порт) на наш офис (ip yyy.yyy.4.10:порт)
Isyaslav
Та же проблемма, что и у меня.
Вот общее правило для статического НАТа:
static (real_interface,mapped_interface) mapped_ip real_ip netmask mask
Кстати сравни с тем что у тебя получилось!
Псомотри тут как организовать ПАТ:
http://www.ciscolab.ru/2006/12/07/pix_natpat_statements.html
У меня ПАТ не заработал на ASA5505 видимо что-то не докрутил. Пришлось ограничиться статическим НАТом.
Но у тебя ситуация сложнее - доступ через Инет, и внешний адрес, по всей видимости, только 1. Поэтому без ПАТа не обойтись.
У меня то выделенка точка-точка и адресов сколько угодно
Кроме того, думаю, что тебе надо организовать тунель IPSec для доступа к удаленной сети. На циске воспользуйся мастером VPN.
А что у тебя на твоей стороне стоит? Тоже циска?
Кстати: у тебя маска сетей 255.255.254.0 , уверен что это правильно? Обычно бывает такая: 255.255.255.0
Та же проблемма, что и у меня.
Вот общее правило для статического НАТа:
static (real_interface,mapped_interface) mapped_ip real_ip netmask mask
Кстати сравни с тем что у тебя получилось!
Псомотри тут как организовать ПАТ:
http://www.ciscolab.ru/2006/12/07/pix_natpat_statements.html
У меня ПАТ не заработал на ASA5505 видимо что-то не докрутил. Пришлось ограничиться статическим НАТом.
Но у тебя ситуация сложнее - доступ через Инет, и внешний адрес, по всей видимости, только 1. Поэтому без ПАТа не обойтись.
У меня то выделенка точка-точка и адресов сколько угодно
Кроме того, думаю, что тебе надо организовать тунель IPSec для доступа к удаленной сети. На циске воспользуйся мастером VPN.
А что у тебя на твоей стороне стоит? Тоже циска?
Кстати: у тебя маска сетей 255.255.254.0 , уверен что это правильно? Обычно бывает такая: 255.255.255.0
Добрый день!
515 cisco pix
Есть 4 интерфейса: inside, outside и 2 dmz:
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
nameif vlan3 dmz1 security60
к сожалению, есть только один внешний ip (10.10.10.1):
ip address outside 10.10.10.1 255.255.255.252
ip address inside 192.168.192.200 255.255.255.0
ip address dmz 192.168.100.1 255.255.255.248
ip address dmz1 192.168.101.1 255.255.255.248
dmz должна видится извне (хост 192.168.100.2)
dmz1 пока не должна, но для нее должен быть доступ в интернет (хост 192.168.101.2)
inside может ходить только в dmz
делаем таким образом:
global (outside) 200 interface
nat (dmz) 200 192.168.100.0 255.255.255.248 0 0
nat (dmz1) 200 192.168.101.0 255.255.255.248 0 0
static (inside,dmz) 192.168.192.0 192.168.192.0 netmask 255.255.255.0 0 0
static (dmz,outside) 10.10.10.1 192.168.100.2 netmask 255.255.255.255 0 0
из dmz есть доступ в интернет
dmz видится из интернета
Но dmz1 не имеет доступа в интернет.
Что я сделал не так?
Соответствующие access-list настроены.
Если настроить static так:
static (dmz,outside) tcp 10.10.10.1 smtp 192.168.100.2 smtp netmask 255.255.255.255 0 0
static (dmz1,outside) tcp 10.10.10.1 https 192.168.101.2 https netmask 255.255.255.255 0 0
static (inside,dmz) 192.168.192.0 192.168.192.0 netmask 255.255.255.0 0 0
То все работает.
Однако необходимо, чтобы хост 192.168.100.2 видился снаружи не только по smtp, но и по pop3.
515 cisco pix
Есть 4 интерфейса: inside, outside и 2 dmz:
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
nameif vlan3 dmz1 security60
к сожалению, есть только один внешний ip (10.10.10.1):
ip address outside 10.10.10.1 255.255.255.252
ip address inside 192.168.192.200 255.255.255.0
ip address dmz 192.168.100.1 255.255.255.248
ip address dmz1 192.168.101.1 255.255.255.248
dmz должна видится извне (хост 192.168.100.2)
dmz1 пока не должна, но для нее должен быть доступ в интернет (хост 192.168.101.2)
inside может ходить только в dmz
делаем таким образом:
global (outside) 200 interface
nat (dmz) 200 192.168.100.0 255.255.255.248 0 0
nat (dmz1) 200 192.168.101.0 255.255.255.248 0 0
static (inside,dmz) 192.168.192.0 192.168.192.0 netmask 255.255.255.0 0 0
static (dmz,outside) 10.10.10.1 192.168.100.2 netmask 255.255.255.255 0 0
из dmz есть доступ в интернет
dmz видится из интернета
Но dmz1 не имеет доступа в интернет.
Что я сделал не так?
Соответствующие access-list настроены.
Если настроить static так:
static (dmz,outside) tcp 10.10.10.1 smtp 192.168.100.2 smtp netmask 255.255.255.255 0 0
static (dmz1,outside) tcp 10.10.10.1 https 192.168.101.2 https netmask 255.255.255.255 0 0
static (inside,dmz) 192.168.192.0 192.168.192.0 netmask 255.255.255.0 0 0
То все работает.
Однако необходимо, чтобы хост 192.168.100.2 видился снаружи не только по smtp, но и по pop3.
Имеется два Cisco Pix 506E , один Pix 515 E и один Cisco 1841.
Требуется связать два филиала и центральный офис по IPSec.
Добрые Люди помогите пожалуйста с написанием конфигов,
Please......
Критическая ситуация!!!
Требуется связать два филиала и центральный офис по IPSec.
Добрые Люди помогите пожалуйста с написанием конфигов,
Please......
Критическая ситуация!!!
pasta2
примеры конфигов тут.
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuration_examples_list.html
выбирай под свою задачу
примеры конфигов тут.
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuration_examples_list.html
выбирай под свою задачу
Решил сделать сеть как в document ID: 5109 http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00800a2cce.shtml
прописал адреса как в выше указанном документе.
VPN Status 0 на всех PIX.
Что нужно еще прописать?
прописал адреса как в выше указанном документе.
VPN Status 0 на всех PIX.
Что нужно еще прописать?
Cisco PIX 515E, вскрыл пароль, сохранил конфиг настроек системы. Обновил прошивку с 6.3 до 7.2.2. Перезапустил систему. Система просит обновить до 64 мб ОЗУ. Делаю откат через монитор до 6.3, система просит ввести ключ, которого нет в документации. Посоветуйте идиоту, что делать. Заранее спасибо за помощь.
народ, подскажите пожалуйста как можно считать трафик на pix 501?
хотелось бы отделять трафик платный (внешний для провайдера) от бесплатного (внутренний для провайдера)
какие есть методы? чем считать и собирать статистику?
хотелось бы отделять трафик платный (внешний для провайдера) от бесплатного (внутренний для провайдера)
какие есть методы? чем считать и собирать статистику?
Доброе время суток. Подскажите пожалуйста, решение проблемы с конфигурацией ASA5510. Firewall ASA5510 подключён к провайдеру двумя интерфейсами (outside0 и outside2). Через интерфейс (outside0) весть трафик с внутреннего интерфейса (inside0) транслируется в Интернет, на втором внешнем интерфейсе (outside2) настроен EasyVPN до нескольких удавленных офисов. VPN-соединение устанавливается нормально, но трафик через него не хочет ходить. При выполнении Packet Tracer с адресов из локальной сети на адреса сети удаленного офиса видно что трафик уходит на интерфейс (outside0) вместо интерфейса (outside2) на котором и настроен EasyVPN. Подскажите где копать? В каком направлении...
Приветствую!
Задача следующая:
К Cisco PIX 501 мостом был прикручен Модем для Скайлинка - соответственно у Cisco PIX был по PPPoE статический IP, что позволяло с удалённым офисом использовать канал на IPsec
Сейчас удалось подключить Corbina.ru но у этих ребят в интернет можно выйти только используя VPN по протоколу PPTP или L2TP. Но как выяснилось она поддерживает только входящие подключения по этим протоколам - что делать ? как решить проблему чтобы сохранить канал между офисами и начать юзать нормальный интернет оставив Cisco PIX 501?
Может плюшку для неё какую нибудь доустановить, ОС обновить или девайс какой нибудь дешёвый перед ней поставить чтобы она маппинг поддерживала для проброса портов для VPN с использованием IPsec?
Задача следующая:
К Cisco PIX 501 мостом был прикручен Модем для Скайлинка - соответственно у Cisco PIX был по PPPoE статический IP, что позволяло с удалённым офисом использовать канал на IPsec
Сейчас удалось подключить Corbina.ru но у этих ребят в интернет можно выйти только используя VPN по протоколу PPTP или L2TP. Но как выяснилось она поддерживает только входящие подключения по этим протоколам - что делать ? как решить проблему чтобы сохранить канал между офисами и начать юзать нормальный интернет оставив Cisco PIX 501?
Может плюшку для неё какую нибудь доустановить, ОС обновить или девайс какой нибудь дешёвый перед ней поставить чтобы она маппинг поддерживала для проброса портов для VPN с использованием IPsec?
Прошу помощи.
Удаленный офис может подключаться к основному двумя разными маршрутами. В обоих офисах используются ASA 5505, подключенные одним интерфейсом в локальную cеть, а двумя другими к сетям двух провайдеров A и B соответственно. Удаленный офис устанавливает соединение Site-to-Site VPN через провайдера А или В, при недоступности А. Как проще сделать автоматическое переключение маршрута IPSec трафика между внешними интерфейсами ASA 5505 в основном офисе? Интересует опция Reverse Route Injection. Как она работает? Можно ли ее использовать для автоматического добавления маршрутов при установлении VPN соединения?
Добавлено:
Еще вопрос.
ASA 5505 синхронизирует свое время по внешниму источнику. Можно ли сделать ASA 5505 сервером времени и раздавать дальше уже свое время по локальной сети?
Удаленный офис может подключаться к основному двумя разными маршрутами. В обоих офисах используются ASA 5505, подключенные одним интерфейсом в локальную cеть, а двумя другими к сетям двух провайдеров A и B соответственно. Удаленный офис устанавливает соединение Site-to-Site VPN через провайдера А или В, при недоступности А. Как проще сделать автоматическое переключение маршрута IPSec трафика между внешними интерфейсами ASA 5505 в основном офисе? Интересует опция Reverse Route Injection. Как она работает? Можно ли ее использовать для автоматического добавления маршрутов при установлении VPN соединения?
Добавлено:
Еще вопрос.
ASA 5505 синхронизирует свое время по внешниму источнику. Можно ли сделать ASA 5505 сервером времени и раздавать дальше уже свое время по локальной сети?
at200859
Можно, довольно легко.
Просто добавть в конфиг на ASA
ntp server xxx.xxx.xxx.xxx (у меня уже лет семь стоит ntp server 134.214.100.6, у него stratum 2)
а на вашем сетевом оборудовании, серверах и локальных станциях - ntp server <адрес_ASA>
Проверка:
sh ntp sratus, должно быть типа
Код: Clock is synchronized, stratum 3, reference is 62.117.76.141
nominal freq is 250.0000 Hz, actual freq is 249.9929 Hz, precision is 2**18
reference time is CC9082FE.62338D96 (15:39:42.383 Moscow Fri Oct 3 2008)
clock offset is 0.0979 msec, root delay is 5.77 msec
root dispersion is 38.67 msec, peer dispersion is 1.27 msec
Можно, довольно легко.
Просто добавть в конфиг на ASA
ntp server xxx.xxx.xxx.xxx (у меня уже лет семь стоит ntp server 134.214.100.6, у него stratum 2)
а на вашем сетевом оборудовании, серверах и локальных станциях - ntp server <адрес_ASA>
Проверка:
sh ntp sratus, должно быть типа
Код: Clock is synchronized, stratum 3, reference is 62.117.76.141
nominal freq is 250.0000 Hz, actual freq is 249.9929 Hz, precision is 2**18
reference time is CC9082FE.62338D96 (15:39:42.383 Moscow Fri Oct 3 2008)
clock offset is 0.0979 msec, root delay is 5.77 msec
root dispersion is 38.67 msec, peer dispersion is 1.27 msec
slut
Цитата:
не отдает моя asa 5505 время по локальной сети
Пробовал получать время и со своей Windows XP и с сервера Novell Netware. Сама 5505 время синронизировала с внешним источником успешно.
может раздавать время умеют только старшие модели 5510 и выше? а 5505 это не дано? или все-таки команду какую дать ей, чтобы она стала сервером времени?
Цитата:
на вашем сетевом оборудовании, серверах и локальных станциях - ntp server <адрес_ASA>
не отдает моя asa 5505 время по локальной сети
Пробовал получать время и со своей Windows XP и с сервера Novell Netware. Сама 5505 время синронизировала с внешним источником успешно. может раздавать время умеют только старшие модели 5510 и выше? а 5505 это не дано? или все-таки команду какую дать ей, чтобы она стала сервером времени?
Мой вопрос повис. Повторюсь.
Неужели никто не знает как можно синхронизировать время рабочих станций (windows xp) с ASA 5505, не выпуская сами станции в интернет. Сама ASA 5505 берет время с ntp-сервера провайдера.
Кто-нибудь смог такое сделать?
Неужели никто не знает как можно синхронизировать время рабочих станций (windows xp) с ASA 5505, не выпуская сами станции в интернет. Сама ASA 5505 берет время с ntp-сервера провайдера.
Кто-нибудь смог такое сделать?
at200859
Я беру с Catalyst 6506 из внутренней сети, он получает сквозь PIX извне. С чего задачи ntp должна решать секьюрная железка? Хотите полуать с ASA время - настраивайте доступ с inside к ntp. По умолчанию она и будт всё дропать.
Я беру с Catalyst 6506 из внутренней сети, он получает сквозь PIX извне. С чего задачи ntp должна решать секьюрная железка? Хотите полуать с ASA время - настраивайте доступ с inside к ntp. По умолчанию она и будт всё дропать.
slut
Цитата:
Дык она единственная, кто имеет подключение к интернет.
Мне выделась такая схема: asa берет время с интернет и раздает его всем, кто находится за ней.
Цитата:
и так для проверки дал полный доступ к inside. в протоколе нет отброшенных пакетов.
Буду делать по вашему - назначу catalyst источником точного времени в локальной сети.
Цитата:
С чего задачи ntp должна решать секьюрная железка?
Дык она единственная, кто имеет подключение к интернет.
Мне выделась такая схема: asa берет время с интернет и раздает его всем, кто находится за ней.
Цитата:
настраивайте доступ с inside к ntp. По умолчанию она и будт всё дропать.
и так для проверки дал полный доступ к inside. в протоколе нет отброшенных пакетов.
Буду делать по вашему - назначу catalyst источником точного времени в локальной сети.
DanCap
Цитата:
вот кусок рабочего конфига как раз под твою задачу
недавно настраивал, все завелось с пол-пинка
Код:
ip address outside 62.183.194.85 255.255.255.248
ip address inside 192.168.10.1 255.255.255.0
global (outside) 1 interface
global (outside) 1 62.183.194.83
global (outside) 2 62.183.194.82
global (outside) 3 62.183.194.86
nat (inside) 0 access-list 101
nat (inside) 2 192.168.11.111 255.255.255.255 0 0
nat (inside) 3 0.0.0.0 0.0.0.0 0 0
Цитата:
извини, что долго молчал
по access-list 101 понятно,
по этому варианту (соответcтвенно ставил свои ip)
!
global (outside) 1 77.106.200.22
global (outside) 2 77.106.200.20
global (outside) 3 interface
!
nat (inside) 0 access-list 101
nat (inside) 1 10.24.242.6 255.255.255.255 0 0
nat (inside) 2 10.24.242.100 255.255.255.255 0 0
nat (inside) 3 0.0.0.0 0.0.0.0 0 0
!
так у меня и не вышло ((
вот кусок рабочего конфига как раз под твою задачу
недавно настраивал, все завелось с пол-пинка
Код:
ip address outside 62.183.194.85 255.255.255.248
ip address inside 192.168.10.1 255.255.255.0
global (outside) 1 interface
global (outside) 1 62.183.194.83
global (outside) 2 62.183.194.82
global (outside) 3 62.183.194.86
nat (inside) 0 access-list 101
nat (inside) 2 192.168.11.111 255.255.255.255 0 0
nat (inside) 3 0.0.0.0 0.0.0.0 0 0
Вечер добрый. Помогите плиззз
Внутренняя сеть (inside) – 192.168.0.0/24
Шлюз у лан пользователей – 192.168.0.200 (прозрачный прокси)
dmz – 10.10.10.0/24
в dmz сервер почты - 10.10.10.2/24 (25, 110, 443)
инет – 22.22.22.34-36/29
инет шлюз – 22.22.22.33
Собственно нужно – пользователей выпустить в инет с 22.22.22.35
из инета доступ к серверу почты по 25, 110, 443 портам, из лана доступ к серверу в dmz только по 6129.
на резерв пока внимание не обращайте)
Подскажите пожалуйста, обеспечит ли этот конфиг поставленную перед ним задачу? Пробовать и настраивать возможности нет. Оч желательно сразу поставить и всё.
Доступ из лана в dmz я намапил шлюзовой ip. Может лучше любой другой из этой сетки? Или нет разницы?
Правильно ли я шлюзы указал и dns внешний ?
Может быть что то лучше настроить иначе? первая циска это в моих руках.. не судите строго.
Спасибо!
: Saved
: Written by enable_15 at 20:02:46.445 MSK/MSD Wed Nov 26 2008
!
ASA Version 8.0(3)
!
hostname cisco
domain-name pepsi.local
names
dns-guard
!
interface Ethernet0/0
description Inside Network
nameif inside
security-level 100
ip address 192.168.0.5 255.255.255.0
!
interface Ethernet0/1
description Primary Internet
nameif outside
security-level 0
ip address 22.22.22.34 255.255.255.248
!
interface Ethernet0/2
description Reserv Internet
shutdown
nameif rezerv
security-level 0
ip address 33.33.33.238 255.255.255.252
!
interface Ethernet0/3
description DeMilitary Zone
nameif dmz
security-level 100
ip address 10.10.10.1 255.255.255.0
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.5.5 255.255.255.0
ospf cost 10
management-only
!
banner exec Hello
boot system disk0:/asa803-k8.bin
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup outside
dns server-group OutsideDNS
name-server 22.22.22.3
name-server 22.22.22.5
domain-name pepsi.local
dns server-group DefaultDNS
domain-name pepsi.local
dns-group OutsideDNS
access-list outside_access_in extended permit tcp any host 22.22.22.36 eq smtp
access-list outside_access_in extended permit tcp any host 22.22.22.36 eq https
access-list dmz_access_in extended permit tcp any host 10.10.10.2 eq 6129
access-list dmz_access_in extended permit tcp any host 10.10.10.2 eq smtp
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside1500
mtu rezerv 1500
mtu dmz 1500
mtu management 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-603.bin
asdm location 192.168.0.200 255.255.255.255 inside
asdm location 192.168.0.0 255.255.255.0 inside
no asdm history enable
arp timeout 14400
static (outside,inside) 192.168.0.200 22.22.22.35 netmask 255.255.255.255
static (dmz,outside) 22.22.22.36 10.10.10.2 netmask 255.255.255.255
static (dmz,inside) 192.168.0.200 10.10.10.1 netmask 255.255.255.255
access-group outside_access_in in interface outside
access-group dmz_access_in in interface dmz
route outside 0.0.0.0 0.0.0.0 22.22.22.33 1
route inside 192.168.0.0 255.255.255.0 192.168.0.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.5.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ca trustpoint ASDM_TrustPoint0
enrollment self
fqdn cisco
subject-name OU=1
no client-types
proxy-ldc-issuer
crl configure
telnet 192.168.5.0 255.255.255.0 management
telnet timeout 5
ssh scopy enable
ssh 0.0.0.0 0.0.0.0 management
ssh timeout 5
console timeout 0
management-access management
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
: end
Внутренняя сеть (inside) – 192.168.0.0/24
Шлюз у лан пользователей – 192.168.0.200 (прозрачный прокси)
dmz – 10.10.10.0/24
в dmz сервер почты - 10.10.10.2/24 (25, 110, 443)
инет – 22.22.22.34-36/29
инет шлюз – 22.22.22.33
Собственно нужно – пользователей выпустить в инет с 22.22.22.35
из инета доступ к серверу почты по 25, 110, 443 портам, из лана доступ к серверу в dmz только по 6129.
на резерв пока внимание не обращайте)
Подскажите пожалуйста, обеспечит ли этот конфиг поставленную перед ним задачу? Пробовать и настраивать возможности нет. Оч желательно сразу поставить и всё.
Доступ из лана в dmz я намапил шлюзовой ip. Может лучше любой другой из этой сетки? Или нет разницы?
Правильно ли я шлюзы указал и dns внешний ?
Может быть что то лучше настроить иначе? первая циска это в моих руках.. не судите строго.
Спасибо!
: Saved
: Written by enable_15 at 20:02:46.445 MSK/MSD Wed Nov 26 2008
!
ASA Version 8.0(3)
!
hostname cisco
domain-name pepsi.local
names
dns-guard
!
interface Ethernet0/0
description Inside Network
nameif inside
security-level 100
ip address 192.168.0.5 255.255.255.0
!
interface Ethernet0/1
description Primary Internet
nameif outside
security-level 0
ip address 22.22.22.34 255.255.255.248
!
interface Ethernet0/2
description Reserv Internet
shutdown
nameif rezerv
security-level 0
ip address 33.33.33.238 255.255.255.252
!
interface Ethernet0/3
description DeMilitary Zone
nameif dmz
security-level 100
ip address 10.10.10.1 255.255.255.0
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.5.5 255.255.255.0
ospf cost 10
management-only
!
banner exec Hello
boot system disk0:/asa803-k8.bin
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup outside
dns server-group OutsideDNS
name-server 22.22.22.3
name-server 22.22.22.5
domain-name pepsi.local
dns server-group DefaultDNS
domain-name pepsi.local
dns-group OutsideDNS
access-list outside_access_in extended permit tcp any host 22.22.22.36 eq smtp
access-list outside_access_in extended permit tcp any host 22.22.22.36 eq https
access-list dmz_access_in extended permit tcp any host 10.10.10.2 eq 6129
access-list dmz_access_in extended permit tcp any host 10.10.10.2 eq smtp
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside1500
mtu rezerv 1500
mtu dmz 1500
mtu management 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-603.bin
asdm location 192.168.0.200 255.255.255.255 inside
asdm location 192.168.0.0 255.255.255.0 inside
no asdm history enable
arp timeout 14400
static (outside,inside) 192.168.0.200 22.22.22.35 netmask 255.255.255.255
static (dmz,outside) 22.22.22.36 10.10.10.2 netmask 255.255.255.255
static (dmz,inside) 192.168.0.200 10.10.10.1 netmask 255.255.255.255
access-group outside_access_in in interface outside
access-group dmz_access_in in interface dmz
route outside 0.0.0.0 0.0.0.0 22.22.22.33 1
route inside 192.168.0.0 255.255.255.0 192.168.0.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.5.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ca trustpoint ASDM_TrustPoint0
enrollment self
fqdn cisco
subject-name OU=1
no client-types
proxy-ldc-issuer
crl configure
telnet 192.168.5.0 255.255.255.0 management
telnet timeout 5
ssh scopy enable
ssh 0.0.0.0 0.0.0.0 management
ssh timeout 5
console timeout 0
management-access management
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
: end
Помогите пожалуйста с настройкой ASA 5520.
Необходимо чтобы на одном интерфейсе было две сети:
192.168.100.0/24 и 192.168.99.0/24, ну и ip адреса у интерфейса 192.168.100.254 и 192.168.99.254.
НА обычных роутерах cisco просто добавляется ip address 192.168.99.254 255.255.255.0 secondary, а на ASA так оказывается делать нельзя, может как-то по другому можно?
и если можно - то поподробнее пожалуйста
Необходимо чтобы на одном интерфейсе было две сети:
192.168.100.0/24 и 192.168.99.0/24, ну и ip адреса у интерфейса 192.168.100.254 и 192.168.99.254.
НА обычных роутерах cisco просто добавляется ip address 192.168.99.254 255.255.255.0 secondary, а на ASA так оказывается делать нельзя, может как-то по другому можно?
и если можно - то поподробнее пожалуйста
lexx
Всё верно, ни ASA ни PIX не поддерживают secondary ip-address на интерфейсе. Но обмануть вполне можно, используя proxy-arp.
Посмотрите, какой mac-адрес на том inside-интерфейсе, где вы хотите повесить второй IP.
Например, это 00а1.12bc.dddf. Далее:
1. включаем этот мак в влан1:
Код: interface vlan1
mac-address 00а1.12bc.dddf
nameif inside
Всё верно, ни ASA ни PIX не поддерживают secondary ip-address на интерфейсе. Но обмануть вполне можно, используя proxy-arp.
Посмотрите, какой mac-адрес на том inside-интерфейсе, где вы хотите повесить второй IP.
Например, это 00а1.12bc.dddf. Далее:
1. включаем этот мак в влан1:
Код: interface vlan1
mac-address 00а1.12bc.dddf
nameif inside
slut
Я дико извиняюсь
Но не подскажите откуда берется
Цитата:
?
у меня там доступны только interface gigabitethernet0/1 0/2 и т.п.
откуда Vlan1 появляется?
Я дико извиняюсь
Но не подскажите откуда берется
Цитата:
interface vlan1
?
у меня там доступны только interface gigabitethernet0/1 0/2 и т.п.
откуда Vlan1 появляется?
кто нибудь собирает логи с PIX?
я скидываю на сислог сервер, в рез-те у меня текстовые файлы, RnR ReportGen строит всего гдето 5 отчетов, даже по айпишникам статистики не посмотреть..
я скидываю на сислог сервер, в рез-те у меня текстовые файлы, RnR ReportGen строит всего гдето 5 отчетов, даже по айпишникам статистики не посмотреть..
Цитата:
у меня там доступны только interface gigabitethernet0/1 0/2 и т.п.
в студию рез-тат: sh ip int br
Добавлено:
Цитата:
у меня там доступны только interface gigabitethernet0/1 0/2 и т.п.
в студию рез-тат: sh ip int br
tyghr
раньше неплохо использовал Sawmill (sawmill.net), сейчас нет необходимости
раньше неплохо использовал Sawmill (sawmill.net), сейчас нет необходимости
Страницы: 12345678910111213141516171819202122232425
Предыдущая тема: Как проверить,ушло ли писмо через вингейт на смтп провайдера
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.