Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Открыть новую тему     Написать ответ в эту тему

era

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cisco PIX Firewall / ASA
 
Cisco PIX Firewall / ASA - OS ищем тут !
 
 
 
 
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
 
 
Уже обсуждалось
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
 
 
Родственные темы
Настройка Cisco оборудования.
 
 
FAQ
 
 
 
 
Всего записей: 1 | Зарегистр. 07-08-2002 | Отправлено: 10:41 07-08-2002 | Исправлено: slech, 09:30 11-06-2008
slech



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
skirix
удали последний установленный апдейт JRE 11 или 10
http://the-network-guy.blogspot.com/2008/10/asdm-error-unconnected-sockets-not.html
Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 11:30 16-03-2009 | Исправлено: slech, 11:31 16-03-2009
Kwasti



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
route-map, чтобы определенный трафик уходил к другому провайдеру, я правильно понял?  
а nat как настроен? покажите конфиг, пожалуйста.

до NAT пока еще не дошло т.к. еще route-map не настроен..
а без настройки route-map Только на правилах NAT не работало..
т.к. при обращении к внешнему ресурсу сначала определялся шлюз а по метрике это шлюз основногопроайдера..и далее по правилам NAT покет шел на интерфейс резервного провайдера в котором этого шлюза коненчо нет..
т.е. тут сначала нужно как торазрулить с route-map
чет читал что стандартного как на маршрутизаторах на ASA нет route-map
делается там мол все ч/з энное место, но возможно...типа OSPRF или RIP но ч/з них не пойму как сделать т.к. как я понял они для VPN нужны..
хотя жаль иметь столько интерфейсов и не иметь нормального route-map информаци очень мало в интернете. если я не прав, помогите разобраться пожалуйста..
 
Всего записей: 47 | Зарегистр. 04-03-2008 | Отправлено: 12:10 16-03-2009 | Исправлено: Kwasti, 12:24 16-03-2009
ESX091

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
может я чего-т не понимаю...
пример, который я привел показывает, как напралять с помощью nat+acl трафик с внутреннего интерфейса 1 через провайдера 1, а трафик с внутреннего интерфейса 2 через провайдера 2.
дальше нужно отплясывать от ваших желаний и возможностей оборудования.
как найду очередность того, как обрабатывает pix входящий трафик - скину инфу.
Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 01:49 18-03-2009
aRMAN

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Все привет!
помогите разобраться есть PIX с тремя интерфейсами:
1. смотрит к провайдеру
2. смотрит в локалку
3. DMZ (Mail,WEB)
Бывают моменты не могу отправить или принять почту по причине не возможности подключения к Mail серверу помогает комманда на PIX-e clear xlate.
Выход в инет в это время доступен.  
Помогите разобраться.
Всего записей: 31 | Зарегистр. 30-09-2003 | Отправлено: 10:10 27-03-2009
ESX091

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
to aRMAN
в логах есть что-нибудь?
в критические моменты скиньте
show memory
show xlate
show conn
Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 18:08 29-03-2009
schukin



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
to aRMAN
 

Цитата:
Бывают моменты не могу отправить или принять почту по причине не возможности подключения к Mail серверу помогает комманда на PIX-e clear xlate.
Выход в инет в это время доступен

 
В этот момент нет доступа из локалки в ДМЗ?  
Возможно кривовато настроен nat.  
По-идее в направлении Локалка - ДМЗ можно nat отключить.
Всего записей: 36 | Зарегистр. 25-04-2006 | Отправлено: 13:31 03-04-2009 | Исправлено: schukin, 13:35 03-04-2009
slech



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ответ на вопрос Sterh84

Цитата:
2. Надо ли писать правила на исходящий траффик с интерфеса с уровнем защищенности 0 ?

нет, не надо. только на входящий.
Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 12:45 11-04-2009 | Исправлено: slech, 12:46 11-04-2009
Sterh84

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Возникает вопрос, возможно ли закрыть траффик( для защиты от обратного соединения ) ?
И как защититься от ДДОСа ? Я понимаю что это не спасет от истощения канала, во как запретить пакетам проходить до сервера ?
Всего записей: 319 | Зарегистр. 03-10-2006 | Отправлено: 20:22 12-04-2009
dfalc

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А помогите кто может!!!
local net LN1(192.168.0.0/24) -> 192.168.0.1(Cisco C1)192.168.1.1 - VPN Site-To-Site(Internet) - 192.168.3.1(Cisco C2)192.168.4.1 -> localnet LN2(192.168.4.0/24) -> tftpserver(192.168.4.2)
cisco asa5505. На обоих 2 интерфейса inside outside
 
1.C2 -> tftp все OK
2.VPN работает. LN1 ping LN2 и наоборот
3. Но с самой C1 не могу ping LN2  
4. C LN2 ping 192.168.0.1 OK!
На C1 и C2
tftp-server inside 192.168.4.2 file
 
Вопрос: Не хочется поднимать в каждой локальной сети tftp сервер.
Как настроить чтобы можно было сохранять конфиг на одном tftp серевре. Через Internet естественно не подходит.  
 
на c1:
write net tftp:xxx - time out!!!
 
===============================
Тема закрыта. Проблема сохранения через ASDM. Если зайти через ssh все прекрасно работает.
Всего записей: 3 | Зарегистр. 28-06-2007 | Отправлено: 13:11 13-04-2009 | Исправлено: dfalc, 14:48 13-04-2009
slech



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sterh84
значит в твоём случае соединение будет исходить из интерфейса с уровнем 100 скажем.
ты вот на нём и создай правила:
1. всё что можно и куда можно
2. запретить всем и всё
Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 13:52 13-04-2009
yarasha



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброе время суток. Может, кто подскажет, как увидеть на PIX 501  имя удаленного пользователя, который подключился по VPN, если база пользователей локальная или для этого надо обязательно аутентификация RADIUS Server.  Сейчас  делаю так:
show isakmp sa
а в ответ:
      dst               src        state     pending     created
  100.100.100.100     200.200.200.200    QM_IDLE         0           1
 
А как узнать имя удаленного пользователя, ведь IP c которого он подключается в 70% динамическое. Имя мне надо и для статистики да и с точки зрения безопасности тоже было бы не плохо его видеть.  
Всего записей: 207 | Зарегистр. 28-10-2002 | Отправлено: 21:40 18-04-2009
rakis

Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Есть два PIX-525 в кластере и необходимость обновиться с 6.3(3) до 7.2(4). Документацию на сайте читал. В принципе все понятно, но промежуток времени, который необходимо потратить на обновление рекомендуемым способом, слишком велик.
В итоге есть мысль сделать следующее:
1. Убрать из схемы primary
2. Обновить primary 6.3(3) -> 6.3(5) -> 7.0(4) -> 7.2(4)
3. Сделать обмен - убрать secondary, вернуть primary
4. Обновить secondary 6.3(3) -> 6.3(5) -> 7.0(4) -> 7.2(4)
5. Вернуть secondary
Как результат - 2 перерыва в сервисе максимум по одной минуте.
 
Может есть более простой/правильный способ? Или так, как описано выше, тоже возможно?
Всего записей: 379 | Зарегистр. 17-01-2006 | Отправлено: 00:57 28-04-2009
yarasha



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я так понял ответить на мой вопрос к сожалению никто не может, как увидеть имя пользователя подключенного по VPN
Всего записей: 207 | Зарегистр. 28-10-2002 | Отправлено: 21:34 29-04-2009
slut



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
yarasha
а sh users не показывает?
Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 10:37 01-05-2009
yarasha



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slut
 
Показывает, но к сожалению не  то, что надо. Это команда показывает, какие учетные записи существуют  в конфигурации .  
 
cisco# sh user
username remote1 password XXXX encrypted privilege 1
username remote2 password YYYYY encrypted privilege 1
 
 А я ищу,что то типа юниксовых команд who или last
причем who в случае с  PIX показывает только активные сессии Telnet.  А мне очень желательно увидеть имя пользователя, создавшего VPN соединение. А в идеале еще и статистику переслать на сислогсервер.  
 
Всего записей: 207 | Зарегистр. 28-10-2002 | Отправлено: 19:32 01-05-2009
rakis

Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
yarasha

Цитата:
А мне очень желательно увидеть имя пользователя, создавшего VPN соединение. А в идеале еще и статистику переслать на сислогсервер.

Походу 501-й этого не умеет (точнее PIX OS 6.x), как замену можно использовать radius.
Всего записей: 379 | Зарегистр. 17-01-2006 | Отправлено: 17:53 02-05-2009
yarasha



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rakis

Цитата:
Походу 501-й этого не умеет (точнее PIX OS 6.x), как замену можно использовать radius.

 
Жаль, очень жаль. Я в принципе это уже  и подозревал. Последний вопрос на эту тему. А с какого IOS есть данная фича, как это можно увидеть и могу ли проапдейтить свой старый PIX до нужной версии OS. Хотя судя по всему, таки мне нужен RADIUS
 
 
 
Всего записей: 207 | Зарегистр. 28-10-2002 | Отправлено: 21:36 03-05-2009
rakis

Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
yarasha

Цитата:
А с какого IOS есть данная фича, как это можно увидеть и могу ли проапдейтить свой старый PIX до нужной версии OS

В 7.2 есть, show vpn-sessiondb ..., (есть ли в более ранних 7.х не знаю)
На 501-й стандартными способами 7-ю не поставить.
Всего записей: 379 | Зарегистр. 17-01-2006 | Отправлено: 22:59 03-05-2009
slech



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
можно ли без перезагрузки обновить версию ASDM ?
кто то такое делал ? железка в продакшене просто эксперементирвать нехочу.
 
т.е. заливаем новую версию ASMD правим конфиг и подключаемся.
сработает ли так ?
 
спасибо.
Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 16:47 08-05-2009
slech



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
если верить этому
Upgrade an ASDM Image with ASDM 6.x
то тут как раз только ASDM и обновляют, т.е. должно пройти.
Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 22:57 08-05-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru