Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Открыть новую тему     Написать ответ в эту тему

era

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cisco PIX Firewall / ASA

 
Cisco PIX Firewall / ASA - OS ищем тут !
 
 
 
 
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
 
 
Уже обсуждалось
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
 
 
Родственные темы
Настройка Cisco оборудования.
 
 
FAQ
 
 
 
 

Всего записей: 1 | Зарегистр. 07-08-2002 | Отправлено: 10:41 07-08-2002 | Исправлено: slech, 09:30 11-06-2008
Sterh84

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Обновить ASDM без перезагрузки брэнд мауэра можно, а вот IOS  нет. Обновлятей не бойтесь

Всего записей: 318 | Зарегистр. 03-10-2006 | Отправлено: 07:43 10-05-2009
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Досталась мне пикса 506 (железка без бумажек), опыта с ними ноль, с иосами небольшой есть.
Пытаюсь для начала сбросить пароль и обнулить настройки. В биос зашел, пытаюсь прописать адрес из внутренней сетки для tftp
 
1) Не понимаю, какой из интерфейсов внутренний. Тот что ближе к консольному порту или наоборот?
 
2) Проверяю, вообще работает ли. Вот такие пироги:
 
monitor> address 10.111.112.197
address 10.111.112.197
monitor> ping 10.111.112.197
Sending 5, 100-byte 0x1304 ICMP Echoes to 10.111.112.197, timeout is 4 seconds:
 
Success rate is 0 percent (0/5)
 
Как такое может быть?

Всего записей: 17126 | Зарегистр. 14-10-2001 | Отправлено: 10:16 12-05-2009
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Упдате.  
 
Вопрос решён.
Надо было в мониторе сказать
 
interface 1  (левый, дальний от консольного шнура)
address a.b.c.d
server a.b.c.e
ping a.b.c.e
file np63.bin  файлик - сбрасыватель пароля, специфичный для версии ос (не биос)
tftp
 
 
 
Добавлено:
можно ли в 506E обновить софт на что-нибудь посвежее?
а железо проапгредить как-нибудь?
 
Hardware:   PIX-506E, 32 MB RAM, CPU Pentium II 300 MHz
Flash E28F640J3 @ 0x300, 8MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB
 
0: ethernet0: address is 000e.8406.09a4, irq 10
1: ethernet1: address is 000e.8406.09a5, irq 11
Licensed Features:
Failover:                    Disabled
VPN-DES:                     Enabled
VPN-3DES-AES:                Disabled
Maximum Physical Interfaces: 2
Maximum Interfaces:          2
Cut-through Proxy:           Enabled
Guards:                      Enabled
URL-filtering:               Enabled
Inside Hosts:                Unlimited
Throughput:                  Unlimited
IKE peers:                   Unlimited
 
This PIX has a Restricted (R) license.

Всего записей: 17126 | Зарегистр. 14-10-2001 | Отправлено: 15:35 12-05-2009
slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
есть железка ASA 5510
Untrust = Real IP - connected to ISP
DMZ = Multiple Real IP
 
сейчас всё работает в режиме routing
задача перевести на NAT.  варианты такие:
1. Static NAT

Цитата:
static (DMZ,Untrust) ext_Ip int_IP netmask 255.255.255.255 0 0

 
  • на серверах пропишем внутриние адреса, сменим адреса шлюзов
     
  • на ASA сменим адрес на интерфейсе на внутрений и пропишем трансляцию
    я так понрмаю нужно всё равно создавать входящее правило для хостов ?
    т.е.

    Цитата:
     
    access-list Untrust_access_in extended permit ip any host ext_IP  
     

     
    2. Static PAT

    Цитата:
    static (inside,outside) tcp ext_IP www int_IP www netmask 255.255.255.255
     

    Цитата:
     
    access-list Untrust_access_in extended permit tcp any host ext_IP eq www
     

    так же  
     
  • на серверах пропишем внутриние адреса, сменим адреса шлюзов
     
  • на ASA сменим адрес на интерфейсе на внутрений и пропишем трансляцию
     
    т.е. в обоих случая придётся делать теже операции и на серверах и на интерфейсах ?
     
     
    как во втором случае хост будет появляться наснаружи ? тоже под ext_IP ?
    в первом случае судя по всему да.

  • Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 16:38 12-05-2009 | Исправлено: slech, 17:05 12-05-2009
    LevT



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Можно ли на пиксе 506E сменить мак-адрес?  
    У моего провайдера DHCP выдает (статический) адрес жестко по маку... Мак тот я специально выдумал  менять привязку гиморно.

    Всего записей: 17126 | Зарегистр. 14-10-2001 | Отправлено: 16:42 12-05-2009 | Исправлено: LevT, 16:47 12-05-2009
    slut



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    LevT
    На физических интерфейсах пиксов поменять нельзя, в отличие от роутеров.

    Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 16:51 12-05-2009 | Исправлено: slut, 16:54 12-05-2009
    slech



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    в моей ситуации судя по всему нужен будет Statiс NAT так как важно что бы хосты могли сами выходить наружу под заданными адресами.
    Static PAT этого не обеспечивает.
    правила для дуступа снаружи нужны будут в обоих случаях.

    Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 21:27 12-05-2009
    slech



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    есть другой важный вопрос  
       
    будет ли возможность с усерверов общаться по реальным IP ?
    т.е. срабатывает NAT - потом на этом же стройстве возвращаемся обратно

    Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 15:05 13-05-2009 | Исправлено: slech, 15:12 13-05-2009
    LevT



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    slut
    По тфтп удалось загрузить 7.2.2.
    Там сменить мак оказалось можно.
     
    В 7.1.1 нельзя.
     
    7.2.3 уже не работает ("software assertion failed").
     
    --
    Всё это для 506E

    Всего записей: 17126 | Зарегистр. 14-10-2001 | Отправлено: 20:51 13-05-2009
    LevT



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

     
    А нельзя ли ASDM расположить на файловой системе, скажем, ftp: ?

    Всего записей: 17126 | Зарегистр. 14-10-2001 | Отправлено: 01:02 14-05-2009
    bazarected

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    slech
    неа, пикс сам на себя не бачит почему-то (6.2, 7.2, 8.0(4) - pix525 enterprise)  
    т.е. реальный пример, если у мну на Пате висит сервер на том же пиксе, откуда юзеры уходят в инет (натятся), то по внешним адресам у них ничче не работает
    если при этом внешние адреса на NAT и PAT разные, то просто не ходит трафик (вышеописано) , а если 1 IP пытался юзать в PAT и NAT, то вообще ниче никуда не ходило. (global, nat, permit'ы в нужных направлениях, это все иммеется)
     
    в принципе можно и конфиги показать, кому чего интересно. но тока в мылы/аськи (9060705)
     
    Добавлено:
    8.0(4) - это прям ASA софт для пикса весь из себя, функционал, орфография
    хотя я не юзал ASA сам по себе если честно.
     
    Добавлено:
    ппц, накарябал, тут все такие серьезные, умные железки изучают, один я, как заправский быдла.
     
    2slech
    : мой пост надо читать только вместе с твой картинкой, иначе не понятно. ну и понимать где там у тебя Пат, а где Нат. будет.
     
    з.ы.
     
    я зачем сюда залез
    обновили пикс до 8.0(4) софта unrestricted, и чет не хочет snmp работать нормально. zenoss пишет "SNMP agent down"
    при этом на пиксе с новым софтом(там где не работает):  
     
    pix0-gts# sh run | i snmp
    snmp-server host inside pp.rr.iv.ate community онасамая version 2c
    snmp-server host outside glo.bbb.aaa.lll community онасамая version 2c
    snmp-server location xxx
    snmp-server contact d.barablin@xxx
    snmp-server community онасамая
    snmp-server enable traps snmp authentication linkup linkdown coldstart
    snmp-server enable traps syslog
    snmp-server enable traps ipsec start stop
    snmp-server enable traps entity config-change fru-insert fru-remove
    snmp-server enable traps remote-access session-threshold-exceeded
     
     
    (тут пытался и с внешки (через другой пикс пролезть) и через инсайд, поэтому 2 хост строчки)
     
    и отнюдь на 7.2софте, аналогично unrestricted все прекрасно работает
     
    pix1-gts# sh run | i snmp
    snmp-server host inside pp.rr.iv.ate community онасамая
    no snmp-server location
    no snmp-server contact
    snmp-server community онасамая
    snmp-server enable traps snmp authentication linkup linkdown coldstart
     
    все это ради мониторинга zenoss( уж больно он приятный в плане потыкивания мышкой
     
     
    и блин, чет я не нашел дебаг snmp в 8.0 ) мб плохо искал((
     
     

    Всего записей: 4 | Зарегистр. 02-01-2008 | Отправлено: 23:19 15-05-2009 | Исправлено: bazarected, 23:51 15-05-2009
    torchock



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Всем доброго времени суток!
    Подскажите, пожалуйста, в чем может быть проблема?
     
    2x pix 501
    У каждого белый ip, находятся в сети провайдера, в разных зданиях, со своего пикса я пингую другой, а вот через свой, изнутри, не могу, в чем может быть причина?
     
    Дебаг пишет ответ для пикса, если с него пинг слать, а изнутри только запрос, ответа нет, с того же ip.

    Всего записей: 78 | Зарегистр. 23-08-2006 | Отправлено: 14:16 18-05-2009
    slut



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    torchock
    для того, который "изнутри" и "не может" - разрешить icmp

    Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 15:15 18-05-2009
    slech



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    bazarected
    есть такая фича как DNS Doctoring

    Цитата:
     
    DNS rewrite performs two functions:
  • Translates a public address (the routable or mapped address) in a DNS reply to a private address (the real address) when the DNS client is on a private interface.
  • Translates a private address to a public address when the DNS client is on the public interface.
     

  • PIX/ASA: Perform DNS Doctoring with the static Command and Three NAT Interfaces Configuration Example
    PIX/ASA: Perform DNS Doctoring with the static Command and Two NAT Interfaces Configuration Example
     
    с PAT оно не работает.

    Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 18:09 18-05-2009 | Исправлено: slech, 18:09 18-05-2009
    torchock



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    slut
    Изнутри - значит с внутреннего интерфейса моего пикса (грубо, с моего компа) на другой, который через внешний интерфейс моего и через шлюз провайдера.

    Всего записей: 78 | Зарегистр. 23-08-2006 | Отправлено: 19:35 18-05-2009
    slech



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Nat Exemption - когда нужен ?
    Используеться для исключения сетей из процеса NAT.
     
    Если скажем у меня 3-и интерфейса
    Untust =0
    Trust =100 - NAT overload - в мир через одни IP
    DMZ =50 - Static NAT - в мир каждый со своим IP
     
    а как будет общение между Trust и DMZ ?
    для этого случая надо указывать NAT Exemption ?
    По идее NAT будет происходить на Untrust инетерфейсе и общение Trust DMZ будет происходить просто по Routing.
     
    кто подскажет прав я или нет ?
     
    спасибо.
     
     

    Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 22:13 18-05-2009 | Исправлено: slech, 22:14 18-05-2009
    adminvencona

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Можно между двумя асами настроить тунель типа ipsecl2l при условии что на одной асе инсайд пул 192.168.0.1-192.168.0.50 (mask 255.255.255.0) а на второй 192.168.0.51-192.168.0.250 (mask 255.255.255.0) ?

    Всего записей: 17 | Зарегистр. 21-04-2005 | Отправлено: 17:48 19-05-2009
    rakis

    Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    PIX-515E, PIX OS 7.2(4)
     
    Пробую залить образ по tftp/ftp, в итоге получаю "No memory available"
     
    guard# sh memory
    Free memory:          794280 bytes ( 1%)
    Used memory:        66314584 bytes (99%)
    -------------     ----------------
    Total memory:       67108864 bytes (100%)
     
    Существует ли способ освободить память без перезагрузки?

    Всего записей: 379 | Зарегистр. 17-01-2006 | Отправлено: 00:47 20-05-2009
    at200859



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    adminvencona
    Нельзя.
    Мне видится два решения.
    1. сменить маски сетей так чтобы уменьшить размеры сетей и сделать эти сети не пересекаемыми.
    2. поднять Static NAT на внутренних интерфейсах обоих асей, т.е. выполнить трансляцию адресов с одной стороны например на 192.168.10.1-192.168.10.50 (mask 255.255.255.0), а с другой на 192.168.20.51-192.168.20.250 (mask 255.255.255.0). Тунель поднять уже между этими сетями.

    Всего записей: 53 | Зарегистр. 18-02-2003 | Отправлено: 15:51 20-05-2009
    Delfinok



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Господа, всем привет!
    Настраиваю сейчас тонко Cisco ASA 5505.
    Задача: полностью запретить даунлоад файлов с расширениями mp3, avi, exe.
    Подскажите темплейт конфига под это дело..
     
    Нашел на сайте циски пример конфига где блокируются домены и файлы. Домены - работает, файлы - нет =(
    Может я что пропустил?
     
    Код

    Всего записей: 164 | Зарегистр. 12-11-2006 | Отправлено: 22:05 21-05-2009 | Исправлено: Delfinok, 22:06 21-05-2009
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru