Не работает простейший ACL на ASA5510, serg321, 01-Июн-09, 12:32 [смотреть все]Получил новую железяку ASA5510, сижу изучаю. Опыта работы с ASA-ой не было. Но не получается сделать элементарной вещи, к примеру ограничить полностью весь входящий трафик на WAN интерфейсе. К примеру ниже привел вырезки, пробую ограничить входящие icmp пакеты, но все равно пинговать интерфейс interface Ethernet0/1 (вернее его IP назначенный ему) остается возможным...Почему не работает элементарные правила не понимаю... Firewall в таком режиме : show firewall Firewall mode: Router Вот вырезки: interface Ethernet0/0 nameif LAN security-level 100 ip address 10.192.162.2 255.255.255.248 ! interface Ethernet0/1 nameif Equant security-level 0 ip address 212.176.x.x 255.255.255.224 .. access-list 1 extended deny icmp any any log disable .. access-group 1 in interface Equant .. route Equant 0.0.0.0 0.0.0.0 212.176.x.x .. threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ntp server 10.192.99.1 source LAN ... class-map inspection_default match default-inspection-traffic ! ! p.s.менял именна акцес листов(сейчас 1), пробовал через CLI и через ASDM (куда еще проще) и все равно пинги проходят.
|
- Не работает простейший ACL на ASA5510, huk, 12:51 , 01-Июн-09 (1)
>[оверквотинг удален] >ntp server 10.192.99.1 source LAN >... >class-map inspection_default > match default-inspection-traffic >! >! > > >p.s.менял именна акцес листов(сейчас 1), пробовал через CLI и через ASDM (куда >еще проще) и все равно пинги проходят. Откуда и кого пингуешь? По умолчанию, весь трафик со стороны интерфейса с большей секьюретью проходит на интерфейс с меньшей секьюретью.
- Не работает простейший ACL на ASA5510, root0, 12:55 , 01-Июн-09 (2)
conf t icmp deny any (name interface)
- Не работает простейший ACL на ASA5510, Николай, 13:02 , 01-Июн-09 (3)
>[оверквотинг удален] >ntp server 10.192.99.1 source LAN >... >class-map inspection_default > match default-inspection-traffic >! >! > > >p.s.менял именна акцес листов(сейчас 1), пробовал через CLI и через ASDM (куда >еще проще) и все равно пинги проходят. привет, тут вся хитрость в том что имя аксес листа и группы должно быть привязано к интерфейсу. в твоем примере для interface Ethernet0/1 закрываем ицмп access-list Equant extended deny icmp any any access-list Equant extended permit ip any any access-group Equant in interface Equant access-group Equant out interface Equant
- Не работает простейший ACL на ASA5510, root0, 13:33 , 01-Июн-09 (4)
на ASA вообще-то идут отдельные правилаicmp permit/deny host/any interface
- Не работает простейший ACL на ASA5510, huk, 13:34 , 01-Июн-09 (5)
>[оверквотинг удален] >>p.s.менял именна акцес листов(сейчас 1), пробовал через CLI и через ASDM (куда >>еще проще) и все равно пинги проходят. > >привет, тут вся хитрость в том что имя аксес листа и группы >должно быть привязано к интерфейсу. >в твоем примере для interface Ethernet0/1 закрываем ицмп >access-list Equant extended deny icmp any any >access-list Equant extended permit ip any any >access-group Equant in interface Equant >access-group Equant out interface Equant O_O Никогда ничего не привязывал.... все работало...
- Не работает простейший ACL на ASA5510, mario, 13:56 , 01-Июн-09 (7)
>[оверквотинг удален] >>привет, тут вся хитрость в том что имя аксес листа и группы >>должно быть привязано к интерфейсу. >>в твоем примере для interface Ethernet0/1 закрываем ицмп >>access-list Equant extended deny icmp any any >>access-list Equant extended permit ip any any >>access-group Equant in interface Equant >>access-group Equant out interface Equant > >O_O >Никогда ничего не привязывал.... все работало... наверное ранее через асдм крутили так там автоматом группа вяжется
- Не работает простейший ACL на ASA5510, huk, 14:07 , 01-Июн-09 (8)
>[оверквотинг удален] >>>в твоем примере для interface Ethernet0/1 закрываем ицмп >>>access-list Equant extended deny icmp any any >>>access-list Equant extended permit ip any any >>>access-group Equant in interface Equant >>>access-group Equant out interface Equant >> >>O_O >>Никогда ничего не привязывал.... все работало... > >наверное ранее через асдм крутили так там автоматом группа вяжется ASDM'ом не пользуюсь вообще.... увязывать имя аксес-листа с именем интерефейса не обязательно... в общем читайте официальный мануал... чего Вам объяснять-то....
- Не работает простейший ACL на ASA5510, serg321, 15:03 , 01-Июн-09 (9)
акцес лист и так был привязан к интерфейсу access-group 1 in interface Equant А вот это помогло icmp deny any inside
У меня нет слов просто!! Точно мозг сломал. Два дня бьюсь. Получается, что на ASA для icmp надо отельные правила писать ?
|