yarasha
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:| slech, а можно немного поподробнее ? Дайте уровни безопасности интерфейсов и правила которые писали. Мне думется надо разрешить входящие правила и на этом все .. хотя эт мне только думается |
К сожалению не все так просто.. там какая-то засада, но мне не до конца понятно какая. У меня тоже ASA 5510 и тоже были с этим нюансы. Если интересно, в понедельник выложу конфиг как раз где эта фишка не идеально, но работает. У меня была точно такая проблема. Условия: 4 сети. 1-я локалка - безопасность 100, 2-я - DMZ - 50 и два канала в интернет - уровень безопасности 0. Так вот, что я не делал пинги с хоста на внешние интерфейсы не ходили. Решение, парадокс но работает: Не считая всех остальных правил, кто куда может, разрешить на внешнем интерфейсе ( безопасность 0) исходящий!!!!! icmp от всех для всех. Все... Пинги пошли везде и от то всюду.
Теперь абсолютно дебильный вопрос 
А я не хочу все пинги!!!! Я хочу избранные. Так вот, как я эти правила не менял, не работает. Я писал от локалки всем и от всех локалке. От локалки хосту, от всех в DMZ, и на оборот и т.д. Никакие из остальных вариантов у меня не заработали. Хотя если следовать логике, если я пингую с локалки(с моего компа) внешний интерфейс, и в правилах стоит на этом же внешнем интерфейсе разрешить все исходящие пинги с локальной сети для всех и все ответы от всех для этой локалки тоже разрешены. То почему это не работает, а разрешить всем ICMP работает??? Может из-за того, что на этом же внешнем интерфейсе NAT ??? И адреса уже преобразованные не попадают под правила.??? И вообще, на Unix я бы c большим удовольствием динамические правила написал, что если пинг вышел, то фаервол сам бы пустил ответ назад....а так все закрыто на вход для локальной сети. А здесь я даже не знаю как динамические правила организовывать.
|
