Настройка Cisco PIX Firewall / ASA - [15] :: В помощь системному администратору :: Компьютерный форум Ru.Board
Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Открыть новую тему     Написать ответ в эту тему

era

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cisco PIX Firewall / ASA
 
Cisco PIX Firewall / ASA [?] - OS ищем тут !
 
 
 
 
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
 
 
Уже обсуждалось
CISCO PIX 7.04 форвардинг портов. КАК? [?]
Сброс пароля на Cisco PIX 501 [?]
cisco pix 501 config помогите [?]
Помогите настроить PIX [?]
Cisco ASA 55x0 Remote Access VPN [?]
 
 
Родственные темы
Настройка Cisco оборудования. [?]
 
 
FAQ
 
 
 
 
Всего записей: 1 | Зарегистр. 07-08-2002 | Отправлено: 10:41 07-08-2002 | Исправлено: slech, 09:30 11-06-2008
yarasha



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ci
Цитата:
slech
по поводу пинга  
насколько я знаю, ASA не позволяет пинговать distant interfac-ы (т.е. интерфейсы, к которым Вы НЕ подключены).
исключение составляет VPN и используется команда "management-access XXXX (interface)".  

 
Нееее....Все она позволяет. Хотя вопрос slech задал спору нет, интересный. Ниже написано так, как понял это я, а понял я не до конца, так как у меня не все работает, как хотелось.  
1. По умолчанию, все запрещено, то есть надо все явно разрешать.
2. ICMP  трафик через Cisco и трафик директ на любой из интерфейсов, в идеологии Cisco начиная где-то с IOS 8.x , как говорят в Одессе две большие разницы. Почему так, ой не спрашивайте меня, раньше было проще, а сейчас я и сам теряюсь. Есть  только предположения, что это связано с определенным типом возможных атак.
3. Если есть NAT, то надо еще отдельно заморочки и правила писать  
 
У меня работает приблизительно следующее:
 
ciscoasa (config) # icmp permit any conversion-error outside
ciscoasa (config) # icmp permit any echo-replay outside
ciscoasa (config) # icmp permit any parameter-problem outside
ciscoasa (config) # icmp permit any source-quench outside
ciscoasa (config) # icmp permit any time-exceeded outside
ciscoasa (config) # icmp permit any unreachable outside
 
Причем для пингов проходящих через ASA в другие сети написаны отдельные правила
Всего записей: 207 | Зарегистр. 28-10-2002 | Отправлено: 01:30 07-08-2009
godzmei

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем  доброго времени суток !!! вопрос  вот  в  чём приобрел AsA5505  пока настроил  просто на  раздачу  инета с внешнего  IP   выяснил  что данный  агрегат может отдавать инет лишь 7 или  10  юзерам  по  крайней  мере  у  меня выходит  так   ,  похоже  что всё первые  7  юзеров цепляются и  берут  инет   всем  остальным фиг,  только если по  таймину  кто то отпадёт то на его место  другой  активный IP  залазит.. ... теперь  вопрос  приобретя  отдельно  лицензию  update  с 10  на  50  юзеров я  смогу  раздать  инет  всем  страждущим в  офисе а  у меня примерно 30  машин или  в  этой модели  циски  как то железно  все  это залочено и лицензии не помогут (типа вот  у неё есть  сем  портов, вот  только семь юзеров и можно подключить и раздать им  инет  )?? подскажите плизз
 
и ещё  подскажите  как  мне  два  офиса соединить  по  средством ASA5505  на  обоих  конца по такому  девайсу в обоих  офисах  статичные внешние  ip нужно  соорудить  тунель  чтоб локальные  внутрение  сети  двух офисов увидали друг друга ..помогите  если не  трудно , я  пока новичок циску  плохо  знаю,  разбираю потихоньку с её  встроеным  веб  интерфейсом   командную  строку  и команды ещё не  постиг ... буу  рад  ответу   и  помощи
Всего записей: 3 | Зарегистр. 10-08-2009 | Отправлено: 19:18 10-08-2009
se111



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
господа помогите с проблемкой http://forum.ru-board.com/topic.cgi?forum=8&topic=33646#1 [?] , замучался с VPN на cisco 1841

----------
создание сайтов
Всего записей: 782 | Зарегистр. 21-04-2005 | Отправлено: 05:34 11-08-2009
ESX091

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
to yarasha
 

Цитата:
Нееее....Все она позволяет.  

Напиши, пожалуйста, какие команды использовать, чтобы находясь inside, мог пинговать outside интерфейс?
и версию оси.
 
у меня немного другая информация, правда она касается пиксов, так что вполне возможно, что за это время FAQ на cisco.com уже не актуален.
 
http://www.cisco.com/en/US/customer/products/hw/vpndevc/ps2030/products_qanda_item09186a0080094874.shtml
 
 
Добавлено:
godzmei
Если нужно подключить более 10 пользователей, докупайте лицензию + сетевое оборудование, к которому будете подключать остальных пользователей, например, коммутатор(ы).
Соединить 2 удаленных офиса с помощью ас можно.
скиньте (можно в личку) внешние адреса и подсети за каждой из ас, перешлю конфиг.
 
хотя пример конфигурации и ссылка на сайт производителя (поиск по LAN-to-LAN Tunnel Between ASA 5505 and ASA/PIX Configuration Example. ) есть на предыдущей странице.
Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 11:56 12-08-2009 | Исправлено: ESX091, 12:35 12-08-2009
slech



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rakis
у меня  прямо повторилась сегодня твоя же история.
Cisco ASA 5510 <--> NetGear FVX 538
удалял, пересоздавал, дебагил. результата 0.
в какой то момент заработало самом собой.
Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 15:48 13-08-2009
yarasha



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ESX091
 
если ошибаюсь, просьба поправьте.
Да с PIX именно так и было. У меня был PIX 501 - так там интерфейса было реальных только 2 (inside, ourside). Switch ports не в счет.  
Сейчас я говорю о ASA 5510 (IOS 8.2) Я использую 5 !! инерфейсов не считая SSM CSC модуля. Так вот, понятие inside - outside, как таковое  в приминени к интерфейсам уже изменилось. Оно определяется исключительно  security level.
 
например у меня:
Eth 0/0  level 0  plovider1
Eth 0/1 level 50 dmz
Eth 0/2 level 50 gastnet
Eth0/3 level 0 provider2
Man 0/0  level 100 ournet
 
мне тогда нужно было, что-бы я Eth 0/1 и Eth 0/2  с любого (внутреннего) хоста мог пинговать.
Ранее написанные строки у меня работали под ээээ... 7.2.3 ???? Но работали - клянусь своей тюбитекой. Сейчас такой необходимости нет.  
Источником информации я брал.. во вспомнил!!! Cisco ASA Configuration Richard A.Deal
Там этот вопрос  расписан.
 
Всего записей: 207 | Зарегистр. 28-10-2002 | Отправлено: 15:51 13-08-2009
ESX091

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
странно

Цитата:
 
ciscoasa (config) # icmp permit any conversion-error outside
ciscoasa (config) # icmp permit any parameter-problem outside
ciscoasa (config) # icmp permit any source-quench outside
 

таких команд у меня вообще нет, если только через  ICMP Type Literals (т.е через цифры), например
ciscoasa (config) # icmp permit any conversion-error outside
у меня можно записать только как
ciscoasa (config) # icmp permit any 31 outside
 
и все равно не получается.
ASA# show ver
 
Cisco Adaptive Security Appliance Software Version 8.2(1)
Device Manager Version 6.2(1)
 
Compiled on Tue 05-May-09 22:45 by builders
System image file is "disk0:/asa821-k8.bin"
Config file at boot was "startup-config"
 
ASA up 25 days 20 hours
 
Hardware:   ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
 
Если найдете ссылку и команды, которые позволят это делать, киньте, пожалуйста.
Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 17:16 13-08-2009 | Исправлено: ESX091, 17:28 13-08-2009
System_gluk

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго времени суток.  
Есть 6500 и FWSM модуль.  

Цитата:
 
FWSM5# sh ver  
 
FWSM Firewall Version 3.1(4)  
Device Manager Version 5.1(1)
 

нат настроен..графики говорят 60мегабит трафика..хотя реально там 120-130..что может быть не так? лицензия какая-т на FWSM надо?
Всего записей: 34 | Зарегистр. 09-10-2004 | Отправлено: 17:26 13-08-2009
ESX091

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yarasha
slech
Нашел то, что искал
http://www.cisco.com/en/US/docs/security/asa/asa71/configuration/guide/trouble.html#wp1059645
NOTE:

Цитата:
 
For security purposes the security appliance does not support far-end interface ping, that is pinging the IP address of the outside interface from the inside network
 
Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 17:49 13-08-2009
yarasha



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ESX091
 
Да, но это же для 7.1 . Я не спорю. Сразу встречный вопрос, а DMZ в реализации ASA это inside или outside? А если два провайдера??? То значит я с хоста на одном  интерфейсе могу пинговать другой интерфейс, ведь оба интерфейса outside???
 
ICMP filtering очень сильно отличается от версии к версии. Например до версии 5.2 ping an any interface точно без бубна работал !!!!.
нужны ссылки от версии 8.0
 
 
Всего записей: 207 | Зарегистр. 28-10-2002 | Отправлено: 12:25 14-08-2009
ESX091

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yarasha
да какая разница сколько интерфейсов и как они называются, главное, что не same-security =)
Если есть команды, то скинь, а нужную версию софта я найду.
я пробовал на разных ios-ах, результат одинаков.  
Еще буду очень благодарен, если поделишься вот этой книженцией Cisco ASA Configuration
в нете не нашел.
Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 14:06 14-08-2009
rakis

Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Ну что ж коллеги. Все мои злоключения по поводу не рабочего IPSEC'а наконец закончились.
Спасибо всем откликнувшимся за помощь.
 
Проблема оказалась проста до безобразия - филиал прислал настройки:
ip   62.y.y.54
mask 255.255.255.252
gate 62.x.x.55
Посыпаю голову пеплом: 62.x.x.55 - широковещательный адрес для сетки 62.y.y.54/30. После исправления шлюза на 62.y.y.53, все заработало с первоначальными настройками.
 
P.S. В очередной раз убедился в двух прописных истинах - "чудес не бывает" и "доверяй, но проверяй". Настройки были взяты со старого шлюза, не думая вбил на новом
Всего записей: 379 | Зарегистр. 17-01-2006 | Отправлено: 08:42 17-08-2009 | Исправлено: rakis, 08:44 17-08-2009
tyghr



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
приветствую всех!
 
нужен совет,
ситуация:
 
ПИКС:
внешний интерфейс
ДМЗ
внутренний интерфейс
 
в ДМЗ есть сервер (1.1.1.20) , на нем крутится апаче 80 порт
с одного внешнего айпишнека (60.100.90.40) на этот апаче пробрасывается 80 порт
 
внешней днс допустим настроен (наше доменное имя ссылается на 60.100.90.40)
на внутреннем днс пишем что наше доменное имя ссылается на 1.1.1.20
 
в чем вопрос - логично ли настраивать не через днс,
а так, чтобы из внутренней подсети заходить на 60.100.90.40 ?
 
у когонибудь реализовано не через днс?
Всего записей: 89 | Зарегистр. 14-03-2007 | Отправлено: 12:13 17-08-2009 | Исправлено: tyghr, 12:23 17-08-2009
ESX091

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rakis
=) ошибки там, где их меньше всего ждешь)
Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 15:49 17-08-2009
yarasha



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ESX091
 
Даную книгу я в интернете тоже найти не смог. Пришлось купить ее на amazon.
На данный момент могу только цитировать или выложить PDF главы о ICMP.
 
Страница 178 ICMP Traffic Through the Appliances…
Страница 179 ICMP Traffic Directed at Appliances…
(Until version 5.2.1 of the OS, any ICMP traffic destined for any of the interfaces of the appliances would be allowed, and the appliances would automatically respond. One unfortunate drawback of this process is that an attacker could use ICMP to learn that a appliance existed, and possibly learn some basis information about it. Up until version 5.2.1, you could not disable this function and make the appliance invisible to other devices. Starting with version 5.2.1, you the option of making the appliance stealthy –you can control how the appliance itself will respond to ICMP messages, or prevent them altogether.
Until version 8.0, you only had one option for controlling this, ICMP filtering. Starting in version 8.0, you have a second option with the use of an ACL applied to the applied to the appliance itself (not an interface), referred to to as control plane filtering. With the former, you can control what ICMP messages the appliance will process when directed to one of its interfaces; with the latter, you control any type of traffic that the appliance will process when directed to itself. With the second option, you create your ACL and apply it to the appliance with the access-group command, using the control-plane parameter (instead of applying it to an interface). ……. (c)
 
Там же есть примеры……
Однако не стоит принимать эту книгу, как истину последней инстанции. На много лучше было бы найти мануал на даную тему на cisco.com от версии 8.0 и выше..Тогда было бы точно все ясно
 
Всего записей: 207 | Зарегистр. 28-10-2002 | Отправлено: 20:52 19-08-2009
denis_chaikin

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет! Дело в следующем))) есть ВПН site2site на 2-х ASA 5505. В одном офисе она используется только для организации ВПН, во втором еще и публикация сервисов на нем. При включении цепи, во втором офисе перестает работать ДНС. Конфиги могу выложить, может кто-то знает куда рыть? спасибо.
Всего записей: 2 | Зарегистр. 29-05-2009 | Отправлено: 06:00 25-08-2009
rakis

Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
denis_chaikin
выложи конфиги пожалуйста
Всего записей: 379 | Зарегистр. 17-01-2006 | Отправлено: 18:28 26-08-2009
lexx

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите пожалуйста, что нужно сделать чтобы cisco asa 5520 после перезагрузки не заходила в режим rommon #0>  и не приходилось писать boot, а чтобы она нормально загружалась сама?
Всего записей: 63 | Зарегистр. 16-11-2002 | Отправлено: 07:26 27-08-2009
rakis

Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
lexx
Установить Configuration register в 0x1
Всего записей: 379 | Зарегистр. 17-01-2006 | Отправлено: 11:21 27-08-2009 | Исправлено: rakis, 13:34 27-08-2009
lexx

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rakis
Спасибо, разобрался.  
Появился новый вопрос  
переключил фаервол в транспарент  
как подключится к веб-интерфейсу через management порт, в докментации указано что надо просто прописать ip адрес?
прописал
ciscoasa(config)# ip address 192.168.1.1 255.255.255.0  
подключаюсь к менеджмент порту с ip 192.168.1.2  
пинги идут до 192.168.1.1, а на вэб интерфейс не могу попасть telnet 192.168.1.1 80, 443,445 отбрасывает
 
Вот конфа  
ASA Version 8.0(4)                                                              
!                                                                                
firewall transparent                                                            
hostname ciscoasa                                                                
enable password ######### encrypted                                      
passwd ###### encrypted                                                
names                                                                            
!                                                                                
interface GigabitEthernet0/0                                                    
 nameif outside                                                                  
 security-level 100                                                              
!                                                                                
interface GigabitEthernet0/1                                                    
 nameif inside                                                                  
 security-level 100                                                              
!                                                                                
interface GigabitEthernet0/2                                                    
 shutdown                                                                        
 no nameif                                                                      
 no security-level                                                              
!                                                                                
interface GigabitEthernet0/3                                                    
 shutdown                                                                        
 no nameif                                                                      
 no security-level                                                              
!                                                                                
interface Management0/0                                                          
 nameif management                                                              
 security-level 0                                                                
 management-only                                                                
!                                                                                
boot system disk0:/asa804-k8.bin                                                
ftp mode passive                                                                
same-security-traffic permit inter-interface                                    
access-list outside-in extended permit icmp any any                              
access-list inside-in extended permit icmp any any                              
pager lines 24                                                                  
mtu outside 1500                                                                
mtu inside 1500                                                                  
mtu management 1500                                                              
ip address 192.168.1.1 255.255.255.0                                            
no failover                                                                      
icmp unreachable rate-limit 1 burst-size 1                                      
asdm image disk0:/asdm-621.bin                                                  
no asdm history enable                                                          
arp timeout 14400                                                                
access-group outside-in in interface outside                                    
access-group inside-in in interface inside                                      
timeout xlate 3:00:00                                                            
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02                
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00  
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00  
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute                    
dynamic-access-policy-record DfltAccessPolicy                                    
no snmp-server location                                                          
no snmp-server contact                                                          
snmp-server enable traps snmp authentication linkup linkdown coldstart          
crypto ipsec security-association lifetime seconds 28800                        
crypto ipsec security-association lifetime kilobytes 4608000                    
telnet timeout 5                                                                
ssh timeout 5                                                                    
console timeout 0                                                                
threat-detection basic-threat                                                    
threat-detection statistics access-list                                          
no threat-detection statistics tcp-intercept                                    
!                                                                                
class-map inspection_default                                                    
 match default-inspection-traffic                                                
!                                                                                
!                                                                                
policy-map type inspect dns preset_dns_map                                      
 parameters                                                                      
  message-length maximum 512                                                    
policy-map global_policy                                                        
 class inspection_default                                                        
  inspect dns preset_dns_map                                                    
  inspect ftp                                                                    
  inspect h323 h225                                                              
  inspect h323 ras                                                              
  inspect rsh                                                                    
  inspect rtsp                                                                  
  inspect esmtp                                                                  
  inspect sqlnet                                                                
  inspect skinny                                                                
  inspect sunrpc                                                                
  inspect xdmcp                                                                  
  inspect sip                                                                    
  inspect netbios                                                                
  inspect tftp                                                                  
!                                                                                
service-policy global_policy global                                              
prompt hostname context                                                          
Cryptochecksum:f448199e2789beb6233e65819b02245a                                  
: end        
Всего записей: 63 | Зарегистр. 16-11-2002 | Отправлено: 12:34 28-08-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2025

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru