Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Открыть новую тему     Написать ответ в эту тему

era

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cisco PIX Firewall / ASA

 
Cisco PIX Firewall / ASA - OS ищем тут !
 
 
 
 
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
 
 
Уже обсуждалось
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
 
 
Родственные темы
Настройка Cisco оборудования.
 
 
FAQ
 
 
 
 

Всего записей: 1 | Зарегистр. 07-08-2002 | Отправлено: 10:41 07-08-2002 | Исправлено: slech, 09:30 11-06-2008
at200859



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slut

Цитата:
С чего задачи ntp должна решать секьюрная железка?

Дык она единственная, кто имеет подключение к интернет.
Мне выделась такая схема: asa берет время с интернет и раздает его всем, кто находится за ней.

Цитата:
настраивайте доступ с inside к ntp. По умолчанию она и будт всё дропать.

и так для проверки дал полный доступ к inside. в протоколе нет отброшенных пакетов.
 
Буду делать по вашему - назначу catalyst источником точного времени в локальной сети.

Всего записей: 53 | Зарегистр. 18-02-2003 | Отправлено: 10:53 14-10-2008
8BNHWZ



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DanCap

Цитата:
извини, что долго молчал  
 
по access-list 101 понятно,  
 
по этому варианту (соответcтвенно ставил свои ip)  
!  
global (outside) 1 77.106.200.22  
global (outside) 2 77.106.200.20  
global (outside) 3 interface  
!  
nat (inside) 0 access-list 101  
nat (inside) 1 10.24.242.6 255.255.255.255 0 0  
nat (inside) 2 10.24.242.100 255.255.255.255 0 0  
nat (inside) 3 0.0.0.0 0.0.0.0 0 0  
!  
так у меня и не вышло ((  

 
вот кусок рабочего конфига как раз под твою задачу
недавно настраивал, все завелось с пол-пинка

Код:
 
ip address outside 62.183.194.85 255.255.255.248
ip address inside 192.168.10.1 255.255.255.0
global (outside) 1 interface
global (outside) 1 62.183.194.83
global (outside) 2 62.183.194.82
global (outside) 3 62.183.194.86
nat (inside) 0 access-list 101
nat (inside) 2 192.168.11.111 255.255.255.255 0 0
nat (inside) 3 0.0.0.0 0.0.0.0 0 0
 

Всего записей: 60 | Зарегистр. 18-05-2005 | Отправлено: 18:28 11-11-2008 | Исправлено: 8BNHWZ, 18:31 11-11-2008
HaZe82

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вечер добрый. Помогите плиззз
 
Внутренняя сеть (inside) – 192.168.0.0/24
Шлюз у лан пользователей – 192.168.0.200 (прозрачный прокси)
dmz – 10.10.10.0/24
в dmz сервер почты - 10.10.10.2/24 (25, 110, 443)
инет – 22.22.22.34-36/29
инет шлюз – 22.22.22.33
 
Собственно нужно – пользователей выпустить в инет с 22.22.22.35
из инета доступ к серверу почты по 25, 110, 443 портам, из лана доступ к серверу в dmz только по 6129.
на резерв пока внимание не обращайте)
Подскажите пожалуйста, обеспечит ли этот конфиг поставленную перед ним задачу? Пробовать и настраивать возможности нет. Оч желательно сразу поставить и всё.
Доступ из лана в dmz я намапил шлюзовой ip. Может лучше любой другой из этой сетки? Или нет разницы?  
Правильно ли я шлюзы указал и dns внешний ?
Может быть что то лучше настроить иначе? первая циска это в моих руках.. не судите строго.
Спасибо!
 
 
: Saved
: Written by enable_15 at 20:02:46.445 MSK/MSD Wed Nov 26 2008
!
ASA Version 8.0(3)  
!
hostname cisco
domain-name pepsi.local
names
dns-guard
!
interface Ethernet0/0
 description Inside Network
 nameif inside
 security-level 100
 ip address 192.168.0.5 255.255.255.0  
!
interface Ethernet0/1
 description Primary Internet
 nameif outside
 security-level 0
 ip address 22.22.22.34 255.255.255.248  
!
interface Ethernet0/2
 description Reserv Internet
 shutdown
 nameif rezerv
 security-level 0
 ip address 33.33.33.238 255.255.255.252  
!
interface Ethernet0/3
 description DeMilitary Zone
 nameif dmz
 security-level 100
 ip address 10.10.10.1 255.255.255.0  
!
interface Management0/0
 nameif management
 security-level 100
 ip address 192.168.5.5 255.255.255.0  
 ospf cost 10
 management-only
!
banner exec Hello
boot system disk0:/asa803-k8.bin
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup outside
dns server-group OutsideDNS
 name-server 22.22.22.3
 name-server 22.22.22.5
 domain-name pepsi.local
dns server-group DefaultDNS
 domain-name pepsi.local
dns-group OutsideDNS
access-list outside_access_in extended permit tcp any host 22.22.22.36 eq smtp  
access-list outside_access_in extended permit tcp any host 22.22.22.36 eq https  
access-list dmz_access_in extended permit tcp any host 10.10.10.2 eq 6129
access-list dmz_access_in extended permit tcp any host 10.10.10.2 eq smtp
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside1500
mtu rezerv 1500
mtu dmz 1500
mtu management 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-603.bin
asdm location 192.168.0.200 255.255.255.255 inside
asdm location 192.168.0.0 255.255.255.0 inside
no asdm history enable
arp timeout 14400
static (outside,inside) 192.168.0.200 22.22.22.35 netmask 255.255.255.255  
static (dmz,outside) 22.22.22.36 10.10.10.2 netmask 255.255.255.255  
static (dmz,inside) 192.168.0.200 10.10.10.1 netmask 255.255.255.255  
access-group outside_access_in in interface outside
access-group dmz_access_in in interface dmz
route outside 0.0.0.0 0.0.0.0 22.22.22.33 1
route inside 192.168.0.0 255.255.255.0 192.168.0.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.5.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ca trustpoint ASDM_TrustPoint0
 enrollment self
 fqdn cisco
 subject-name OU=1
 no client-types
 proxy-ldc-issuer
 crl configure
telnet 192.168.5.0 255.255.255.0 management
telnet timeout 5
ssh scopy enable
ssh 0.0.0.0 0.0.0.0 management
ssh timeout 5
console timeout 0
management-access management
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns migrated_dns_map_1  
  inspect ftp  
  inspect h323 h225  
  inspect h323 ras  
  inspect rsh  
  inspect rtsp  
  inspect esmtp  
  inspect sqlnet  
  inspect skinny  
  inspect sunrpc  
  inspect xdmcp  
  inspect sip  
  inspect netbios  
  inspect tftp  
!
service-policy global_policy global
prompt hostname context  
: end

Всего записей: 3 | Зарегистр. 19-09-2006 | Отправлено: 21:05 26-11-2008
tyghr



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
почему в PIX 500 серии нет команды ip accounting, HELP!!
 
...  (добавлено)
вообщем вот как (никак)

Всего записей: 89 | Зарегистр. 14-03-2007 | Отправлено: 15:01 05-12-2008 | Исправлено: tyghr, 17:56 06-12-2008
lexx

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Помогите пожалуйста с настройкой ASA 5520.
Необходимо чтобы на одном интерфейсе было две сети:
 192.168.100.0/24 и 192.168.99.0/24, ну и ip адреса у интерфейса 192.168.100.254 и 192.168.99.254.
НА обычных роутерах cisco просто добавляется ip address 192.168.99.254 255.255.255.0 secondary, а на ASA так оказывается делать нельзя, может как-то по другому можно?
и если можно - то поподробнее пожалуйста

Всего записей: 63 | Зарегистр. 16-11-2002 | Отправлено: 18:55 07-12-2008
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
lexx
Всё верно, ни ASA ни PIX не поддерживают secondary ip-address на интерфейсе. Но обмануть вполне можно, используя proxy-arp.
 
Посмотрите, какой mac-адрес на том inside-интерфейсе, где вы хотите повесить второй IP.
Например, это 00а1.12bc.dddf. Далее:
1. включаем этот мак в влан1:

Код:
interface vlan1
mac-address 00а1.12bc.dddf
nameif inside

2. ассоциируем ваш второй IP с этим мак-адресом:

Код:
arp inside 192.168.99.254 00а1.12bc.dddf alias

3. Может понадобиться поднять маршрутизацию между этими подсетями, но не уверен, что это так, возможно будет работатьт и без этого. Проверьте сами:

Код:
route inside 192.168.99.254 255.255.255.0 192.168.100.254 1

 
по идее всё должно поехать.

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 10:14 09-12-2008
lexx

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slut
Я дико извиняюсь  
Но не подскажите откуда берется  

Цитата:
interface vlan1  
 

?
у меня там доступны только interface gigabitethernet0/1 0/2 и т.п.
откуда Vlan1 появляется?

Всего записей: 63 | Зарегистр. 16-11-2002 | Отправлено: 12:43 10-12-2008
tyghr



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
кто нибудь собирает логи с PIX?
 
я скидываю на сислог сервер, в рез-те у меня текстовые файлы, RnR ReportGen строит всего гдето 5 отчетов, даже по айпишникам статистики не посмотреть..

Всего записей: 89 | Зарегистр. 14-03-2007 | Отправлено: 10:05 15-12-2008
Zenith1983



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
у меня там доступны только interface gigabitethernet0/1 0/2 и т.п.

в студию рез-тат: sh ip int br
 
Добавлено:

Цитата:
у меня там доступны только interface gigabitethernet0/1 0/2 и т.п.

в студию рез-тат: sh ip int br

Всего записей: 297 | Зарегистр. 21-03-2008 | Отправлено: 14:23 15-12-2008
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
tyghr
раньше неплохо использовал Sawmill (sawmill.net), сейчас нет необходимости

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 16:09 15-12-2008 | Исправлено: slut, 16:12 15-12-2008
tyghr



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
раньше неплохо использовал Sawmill (sawmill.net), сейчас нет необходимости

 
попробовал... сенкс и уважуха!!

Всего записей: 89 | Зарегистр. 14-03-2007 | Отправлено: 17:43 17-12-2008
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
lexx
Сорри, пропустил...
Читайте тут
Что-то типа interface ethernet0 vlan1 physical

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 13:24 18-12-2008
Cucumber86

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ, а нет примеров конфигов ос, чтоб объединить 3 офиса, как тут нарисовано
http://www.lanmark.ru/solutions/vpn_cons.php , оч нада! Спасиба заранее.

Всего записей: 1 | Зарегистр. 18-12-2008 | Отправлено: 13:55 18-12-2008
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Cucumber86
Дык, какое железо, какие версии софта, какие каналы и пр...
А вообще в сети уже достаточно много примеров настройки ip vpn

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 14:12 18-12-2008
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cucumber86
конфиги-то есть, но подойдут ли они? ))
вообще, если грамотно поставишь тз (опишешь что нужно по сути и что есть), набить конфигурацию недолго.

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 12:21 23-12-2008
slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
возник вопрос.
WEB сервер.
открываем доступ к нему по HTTP снаружи внутрь, так же нужно изнутри наружи пустить ответ.
а как HTTPS та же история ? т.е. внутрь точно, а наружу так же  ?
Name - Transport - Src port(low/high) - Dst port(low/high)

 *  HTTP - TCP -  1024/65535  80/80
 *  HTTPresponse - TCP - 80/80 - 1024/65535


 *  HTTPS - TCP - 1024/65535 - 443/443
 *  HTTPSresponse - TCP - 443/443 - 1024/65535

Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 18:12 23-12-2008 | Исправлено: slech, 18:16 23-12-2008
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slech
 
у web сервера ip внутренний?
можно через pix(asу) "пробросить" порт. Достаточно 2 команды на http и 2 на https.
для http:
static (inside, outside) <внешний_ip_адрес_pix> <порт_к_которому_будут_подключаться> <ip_адрес_WEB_сервера> <порт 80>
static (inside, outside) tcp 160.1.2.3 8080 192.168.1.1 80
и необходимо добавить acl
access-list xxx permit tcp any host 160.1.2.3 eq 8080
 
аналогично 2 команды для https:
static (inside, outside) tcp 160.1.2.3 4000 192.168.1.1 443
access-list xxx permit tcp any host 160.1.2.3 eq 4000
остается проверить, что access-group xxx будет висеть на outside интерфейсе.
 
Из LAN ничего доп-но открыть не нужно, у тебя pix, asa пропустят обратный трафик посмотрев таблицу соединений.  
Если же речь идет об ios fw, можно воспользоваться командой ip inspect.
 
Текущий конфиг значительно облегчит задачу)

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 23:33 23-12-2008
newBuch



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
У меня есть подозрения что мой PIX 515 не сразу применяет в жизнь произведенные мною изменения в конфиге. Как только сделаю wr mem и затем reload, то всё начинает работать. Может есть какое-нить форсированное применение настроек?

Всего записей: 54 | Зарегистр. 22-12-2005 | Отправлено: 08:47 25-12-2008
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
newBuch
clear xlate

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 09:43 25-12-2008
slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
всем привет.
есть задача органихзовать routing между 3-мя интерфейсами ну и DMZ зона конечно же.
1-ый вариант - организовать 3-и зоны(3 VALN) и между ними routing и правила на firewall.
2-ой вариант - просто на уровне интерфейсов - routing + firewall.
прав ли я ?
спасибо.

Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 16:52 13-01-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru