Новые ответы

Не работает простейший ACL на ASA5510,

serg321, 01-Июн-09, 12:32 [смотреть все]

Получил новую железяку ASA5510, сижу изучаю.
Опыта работы с ASA-ой не было.
Но не получается сделать элементарной вещи, к примеру ограничить полностью весь входящий трафик на WAN интерфейсе. К примеру ниже привел вырезки, пробую ограничить входящие icmp пакеты, но все равно пинговать интерфейс interface Ethernet0/1 (вернее его IP назначенный ему) остается возможным...
Почему не работает элементарные правила не понимаю...
Firewall в таком режиме :
show firewall
Firewall mode: Router
Вот вырезки:
interface Ethernet0/0
nameif LAN
security-level 100
ip address 10.192.162.2 255.255.255.248
!
interface Ethernet0/1
nameif Equant
security-level 0
ip address 212.176.x.x 255.255.255.224
..
access-list 1 extended deny icmp any any log disable
..
access-group 1 in interface Equant
..
route Equant 0.0.0.0 0.0.0.0 212.176.x.x
..
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 10.192.99.1 source LAN
...
class-map inspection_default
match default-inspection-traffic
!
!

p.s.менял именна акцес листов(сейчас 1), пробовал через CLI и через ASDM (куда еще проще) и все равно пинги проходят.

Ответить | Сообщить модератору

Не работает простейший ACL на ASA5510, huk, 12:51 , 01-Июн-09 (1)
>[оверквотинг удален]
>ntp server 10.192.99.1 source LAN
>...
>class-map inspection_default
> match default-inspection-traffic
>!
>!
>
>
>p.s.менял именна акцес листов(сейчас 1), пробовал через CLI и через ASDM (куда
>еще проще) и все равно пинги проходят.
Откуда и кого пингуешь?
По умолчанию, весь трафик со стороны интерфейса с большей секьюретью проходит на интерфейс с меньшей секьюретью.
Ответить | Сообщить модератору
Не работает простейший ACL на ASA5510, root0, 12:55 , 01-Июн-09 (2)
conf t
icmp deny any (name interface)
Ответить | Сообщить модератору
Не работает простейший ACL на ASA5510, Николай, 13:02 , 01-Июн-09 (3)
>[оверквотинг удален]
>ntp server 10.192.99.1 source LAN
>...
>class-map inspection_default
> match default-inspection-traffic
>!
>!
>
>
>p.s.менял именна акцес листов(сейчас 1), пробовал через CLI и через ASDM (куда
>еще проще) и все равно пинги проходят.
привет, тут вся хитрость в том что имя аксес листа и группы должно быть привязано к интерфейсу.
в твоем примере для interface Ethernet0/1 закрываем ицмп
access-list Equant extended deny icmp any any
access-list Equant extended permit ip any any
access-group Equant in interface Equant
access-group Equant out interface Equant
Ответить | Сообщить модератору

Не работает простейший ACL на ASA5510, root0, 13:33 , 01-Июн-09 (4)
на ASA вообще-то идут отдельные правила
icmp permit/deny host/any interface
Ответить | Сообщить модератору

Не работает простейший ACL на ASA5510, huk, 13:35 , 01-Июн-09 (6)
>на ASA вообще-то идут отдельные правила
>
>icmp permit/deny host/any interface
Мозг человеку не съедайте. :)
Ответить | Сообщить модератору

Не работает простейший ACL на ASA5510, huk, 13:34 , 01-Июн-09 (5)
>[оверквотинг удален]
>>p.s.менял именна акцес листов(сейчас 1), пробовал через CLI и через ASDM (куда
>>еще проще) и все равно пинги проходят.
>
>привет, тут вся хитрость в том что имя аксес листа и группы
>должно быть привязано к интерфейсу.
>в твоем примере для interface Ethernet0/1 закрываем ицмп
>access-list Equant extended deny icmp any any
>access-list Equant extended permit ip any any
>access-group Equant in interface Equant
>access-group Equant out interface Equant
O_O
Никогда ничего не привязывал.... все работало...
Ответить | Сообщить модератору

Не работает простейший ACL на ASA5510, mario, 13:56 , 01-Июн-09 (7)
>[оверквотинг удален]
>>привет, тут вся хитрость в том что имя аксес листа и группы
>>должно быть привязано к интерфейсу.
>>в твоем примере для interface Ethernet0/1 закрываем ицмп
>>access-list Equant extended deny icmp any any
>>access-list Equant extended permit ip any any
>>access-group Equant in interface Equant
>>access-group Equant out interface Equant
>
>O_O
>Никогда ничего не привязывал.... все работало...
наверное ранее через асдм крутили так там автоматом группа вяжется
Ответить | Сообщить модератору

Не работает простейший ACL на ASA5510, huk, 14:07 , 01-Июн-09 (8)
>[оверквотинг удален]
>>>в твоем примере для interface Ethernet0/1 закрываем ицмп
>>>access-list Equant extended deny icmp any any
>>>access-list Equant extended permit ip any any
>>>access-group Equant in interface Equant
>>>access-group Equant out interface Equant
>>
>>O_O
>>Никогда ничего не привязывал.... все работало...
>
>наверное ранее через асдм крутили так там автоматом группа вяжется
ASDM'ом не пользуюсь вообще....
увязывать имя аксес-листа с именем интерефейса не обязательно...
в общем читайте официальный мануал... чего Вам объяснять-то....
Ответить | Сообщить модератору

Не работает простейший ACL на ASA5510, serg321, 15:03 , 01-Июн-09 (9)
акцес лист и так был привязан к интерфейсу
access-group 1 in interface Equant

А вот это помогло
icmp deny any inside
У меня нет слов просто!! Точно мозг сломал. Два дня бьюсь.
Получается, что на ASA для icmp надо отельные правила писать ?
Ответить | Сообщить модератору

Не работает простейший ACL на ASA5510, root0, 16:28 , 01-Июн-09 (10)
Для icmp отдельно
Вообще если что не понятно загляните уже в ASDM или религия не позволяет
?????
Ответить | Сообщить модератору