forum.opennet.ru - "asa transparent mode" (13)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"asa transparent mode"

Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"asa transparent mode"	+/–
Сообщение от Aleks305 (ok) on 21-Янв-11, 15:19
привет всем! Прошу помочь тех, кто больше знает asa, чем я в решении такой задачи(файл прилагается). 1)Уровень Core в ЛВС представлен коммутатором HP5412zl. На нем поднята маршрутизация между VLAN, на которые разделена ЛВС. 2)Интересующая нас подсеть 10.200.0.0/16 входит в VLAN 140, шлюз по умолчанию 10.200.0.1/16 также на коммутаторе core. В этом VLAN сосредоточены серверы, которые необходимо разделить на два сегмента(zachita и net_zachity) с помощью ASA. Менять адресацию их нельзя в силу определенных причин. 3)В аsa есть transparent режим, которые я и предлагаю использовать для разделения сети внутри одной vlan. Один мост прокинуть на защищаемый сегмент(коммутатор sw2), второй на незащищаемый (коммутатор sw1). Сформировать правила по доступу из сегмента пользователей в данные сегменты. 4) Вот собственно и вся идея. Теперь вопросы. а) Работоспособна данная схема? будет ли файрвол корректно работать в данном случае? В мануалах приводится схема, когда несколько бриджей связывают различные подсети, а здесь 2 бриджа в пределах одного подсети. б) Можно ли настроить взаимодействие между серверами в приведенной схеме(между сегментом zachita и net_zachity)? в) Чтобы увеличить пропускную способность можно ли добавить еще по одному бриджу в каждый сегмент сети (будет не два бриджа, а 4). г) Если схема, не работоспособна, не могли бы подсказать в какую сторону смотреть, чтобы решить задачу? Напомню, главное ограничение - нельзя менять ip в сегменте vlan140/ Всем спасибо! Ссылка на сайт, где приведена схема. http://tinypic.com/r/531mxj/7
Ответить \| Правка \| Cообщить модератору

Оглавление

asa transparent mode, Aleks305, 16:42 , 22-Янв-11, (1)
asa transparent mode, OvDP, 05:48 , 24-Янв-11, (2)

asa transparent mode, Aleks305, 20:12 , 24-Янв-11, (3)

asa transparent mode, OvDP, 21:34 , 24-Янв-11, (4)

asa transparent mode, Aleks305, 22:18 , 24-Янв-11, (5)

asa transparent mode, OvDP, 22:28 , 24-Янв-11, (6)

asa transparent mode, Aleks305, 11:03 , 25-Янв-11, (7)

asa transparent mode, OvDP, 11:37 , 25-Янв-11, (8)

asa transparent mode, Aleks305, 12:08 , 25-Янв-11, (9)

asa transparent mode, OvDP, 12:35 , 25-Янв-11, (10)

asa transparent mode, Aleks305, 14:34 , 25-Янв-11, (11)

asa transparent mode, OvDP, 14:39 , 25-Янв-11, (12)

asa transparent mode, Aleks305, 15:02 , 25-Янв-11, (13)

Сообщения по теме [Сортировка по времени | RSS]

1. "asa transparent mode" +/–

Сообщение от Aleks305 (ok) on 22-Янв-11, 16:42

так есть у кого-нить мнение по моему вопросу?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "asa transparent mode" +/–

Сообщение от OvDP (ok) on 24-Янв-11, 05:48

>[оверквотинг удален]
> здесь 2 бриджа в пределах одного подсети.
> б) Можно ли настроить взаимодействие между серверами в приведенной схеме(между сегментом
> zachita и net_zachity)?
> в) Чтобы увеличить пропускную способность можно ли добавить еще по одному бриджу
> в каждый сегмент сети (будет не два бриджа, а 4).
> г) Если схема, не работоспособна, не могли бы подсказать в какую сторону
> смотреть, чтобы решить задачу?
> Напомню, главное ограничение - нельзя менять ip в сегменте vlan140/
> Всем спасибо!
> Ссылка на сайт, где приведена схема. http://tinypic.com/r/531mxj/7
можно поподробнее, для чего вы это хотите сделать? зачем разделять сеть на "защищаемую" и "не защищаемую"?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "asa transparent mode" +/–

Сообщение от Aleks305 (ok) on 24-Янв-11, 20:12

>[оверквотинг удален]
>> zachita и net_zachity)?
>> в) Чтобы увеличить пропускную способность можно ли добавить еще по одному бриджу
>> в каждый сегмент сети (будет не два бриджа, а 4).
>> г) Если схема, не работоспособна, не могли бы подсказать в какую сторону
>> смотреть, чтобы решить задачу?
>> Напомню, главное ограничение - нельзя менять ip в сегменте vlan140/
>> Всем спасибо!
>> Ссылка на сайт, где приведена схема. http://tinypic.com/r/531mxj/7
> можно поподробнее, для чего вы это хотите сделать? зачем разделять сеть на
> "защищаемую" и "не защищаемую"?
В этом серверном сегменте расположено около 70 серверов, часть из них содержит информацию, которые необходимо защищать. Примерно 10 из 70. Поэтому и хотим часть защищать, а часть нет + еще всякие требования законодательства. Вначале хотели разделить эти подсети выделением во разные vlan с другим ip-адресами. Но наши дбашники залупились, что изменив ip-адреса, могут незаработать критичные для бизнеса сервиса. Вот и думаю теперь, как сделать что-то...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "asa transparent mode" +/–

Сообщение от OvDP (ok) on 24-Янв-11, 21:34

что приходит в голову:
1. защитить всё (на будущее так сказать).
собрать все сервера на инсайде асы с помощью коммутатора, асу настроить как transparent firewall, аутсайд интерфейс асы в коммутатор ядра. Не забываем про пропускную способность железяки.
2. защитить один сегмент.
Собрать оба сегмента на разных коммутаторах, сервера важного сегмента аплинком на инсайд интерфейс асы, асу настроить как transparent firewall, аутсайд интерфейс асы в коммутатор ядра. второй сегмент сразу на коммутатор ядра.
проверял, как-то раз. transparent firewall работает, но в силу требования проекта фича не прижилась.
у асы в режмиме transparent firewall есть куча нюансов: http://www.cisco.com/en/US/docs/security/asa/asa80/configura...
пример конфигурации: http://xgu.ru/wiki/Cisco_ASA/Transparent_firewall

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "asa transparent mode" +/–

Сообщение от Aleks305 (ok) on 24-Янв-11, 22:18

>[оверквотинг удален]
> transparent firewall, аутсайд интерфейс асы в коммутатор ядра. Не забываем про
> пропускную способность железяки.
> 2. защитить один сегмент.
> Собрать оба сегмента на разных коммутаторах, сервера важного сегмента аплинком на инсайд
> интерфейс асы, асу настроить как transparent firewall, аутсайд интерфейс асы в
> коммутатор ядра. второй сегмент сразу на коммутатор ядра.
> проверял, как-то раз. transparent firewall работает, но в силу требования проекта фича
> не прижилась.
> у асы в режмиме transparent firewall есть куча нюансов: http://www.cisco.com/en/US/docs/security/asa/asa80/configura...
> пример конфигурации: http://xgu.ru/wiki/Cisco_ASA/Transparent_firewall
вынес из пункта 2 новую идею, че-то сам сначала не додумался, что из незащищаемого сегмента аплинк на коммутатор уровня ядра кинуть, я все сначала думал аплинк в асу засунуть. По-Вашему мнению, сервера смогут в защищаемом и незащищаемом сегменте общаться между собой? думаю, что должны...
а альтернативу cisco asa не можете предложить, ну чтобы и транспарент режим поддерживала и может чтобы подешевле...
завтра попробую стенд собрать.
спасибо за ответ

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "asa transparent mode" +/–

Сообщение от OvDP (ok) on 24-Янв-11, 22:28

>[оверквотинг удален]
>> у асы в режмиме transparent firewall есть куча нюансов: http://www.cisco.com/en/US/docs/security/asa/asa80/configura...
>> пример конфигурации: http://xgu.ru/wiki/Cisco_ASA/Transparent_firewall
> вынес из пункта 2 новую идею, че-то сам сначала не додумался, что
> из незащищаемого сегмента аплинк на коммутатор уровня ядра кинуть, я все
> сначала думал аплинк в асу засунуть. По-Вашему мнению, сервера смогут в
> защищаемом и незащищаемом сегменте общаться между собой? думаю, что должны...
> а альтернативу cisco asa не можете предложить, ну чтобы и транспарент режим
> поддерживала и может чтобы подешевле...
> завтра попробую стенд собрать.
> спасибо за ответ
хм... dfl от dlink... в рутере восьмисотый работал стабильно, в транспарент не проверял (хотя фича есть)... но блин в логике работы иногда без бутылки не разберешься... имхо не стоит в вашем случае мелочиться..

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "asa transparent mode" +/–

Сообщение от Aleks305 (ok) on 25-Янв-11, 11:03

Реши собрать в gns3 схему, чтобы попробовать понастравивать asa в transparent-режиме. Сначала собрал в routing, там все нормально, правила настраиваются корректно, можно манипулировать. В transparent даже при явно заданных permit ip any any пинги с хоста с инсайда не достигают аутсайда. Не пойму в чем дело. Вот конфиг:
ASA Version 8.0(2)
!
firewall transparent
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
nameif inside
security-level 100
!
interface Ethernet0/1
nameif outside
security-level 20
!
interface Ethernet0/2
shutdown
no nameif
no security-level
!
interface Ethernet0/3
shutdown
no nameif
no security-level
!
interface Ethernet0/4
shutdown
no nameif
no security-level
!
interface Ethernet0/5
shutdown
no nameif
no security-level
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list 5 extended permit ip host 15.0.0.2 host 15.0.0.10
access-list 6 extended permit ip host 15.0.0.10 host 15.0.0.5
pager lines 24
mtu inside 1500
mtu outside 1500
ip address 15.0.0.5 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
access-group 5 in interface inside
access-group 6 in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
Не пойму, в чем проблема. Смотрую на статистику обработки пакетов на интерфейсах - все дропаются.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "asa transparent mode" +/–

Сообщение от OvDP (ok) on 25-Янв-11, 11:37

>[оверквотинг удален]
> no snmp-server contact
> snmp-server enable traps snmp authentication linkup linkdown coldstart
> no crypto isakmp nat-traversal
> telnet timeout 5
> ssh timeout 5
> console timeout 0
> threat-detection basic-threat
> threat-detection statistics access-list
> Не пойму, в чем проблема. Смотрую на статистику обработки пакетов на интерфейсах
> - все дропаются.
сделайте тупо по примеру для начала

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "asa transparent mode" +/–

Сообщение от Aleks305 (ok) on 25-Янв-11, 12:08

> сделайте тупо по примеру для начала
так я так и сделал, правили про icmp и так и этак крутил... не получилось пингу пройти через асу. А вот с ее менеджмент интерфейса пинг проходит и на инсайд и на аутсайд

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "asa transparent mode" +/–

Сообщение от OvDP (ok) on 25-Янв-11, 12:35

>> сделайте тупо по примеру для начала
> так я так и сделал, правили про icmp и так и этак
> крутил... не получилось пингу пройти через асу. А вот с ее
> менеджмент интерфейса пинг проходит и на инсайд и на аутсайд
попробуйте:
1. навесит на интерфейсы ацл эни ту эни
2. пропинговать с асы в обе стороны

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "asa transparent mode" +/–

Сообщение от Aleks305 (ok) on 25-Янв-11, 14:34

>>> сделайте тупо по примеру для начала
>> так я так и сделал, правили про icmp и так и этак
>> крутил... не получилось пингу пройти через асу. А вот с ее
>> менеджмент интерфейса пинг проходит и на инсайд и на аутсайд
> попробуйте:
> 1. навесит на интерфейсы ацл эни ту эни
> 2. пропинговать с асы в обе стороны
пробовал permit ip any any вешать на inside и outside, пинги с асы в обе стороны проходят замечательно. Блин, то ли qemu тупит...то ли я

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "asa transparent mode" +/–

Сообщение от OvDP (ok) on 25-Янв-11, 14:39

>>>> сделайте тупо по примеру для начала
>>> так я так и сделал, правили про icmp и так и этак
>>> крутил... не получилось пингу пройти через асу. А вот с ее
>>> менеджмент интерфейса пинг проходит и на инсайд и на аутсайд
>> попробуйте:
>> 1. навесит на интерфейсы ацл эни ту эни
>> 2. пропинговать с асы в обе стороны
> пробовал permit ip any any вешать на inside и outside, пинги с
> асы в обе стороны проходят замечательно. Блин, то ли qemu тупит...то
> ли я
уберите сцлы и попробуйте с хоста в инсайде пинговать аутсаудовские хосты... трафик должен проходить без явного разрешения, потому что 100>20

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "asa transparent mode" +/–

Сообщение от Aleks305 (ok) on 25-Янв-11, 15:02

>[оверквотинг удален]
>>>> крутил... не получилось пингу пройти через асу. А вот с ее
>>>> менеджмент интерфейса пинг проходит и на инсайд и на аутсайд
>>> попробуйте:
>>> 1. навесит на интерфейсы ацл эни ту эни
>>> 2. пропинговать с асы в обе стороны
>> пробовал permit ip any any вешать на inside и outside, пинги с
>> асы в обе стороны проходят замечательно. Блин, то ли qemu тупит...то
>> ли я
> уберите сцлы и попробуйте с хоста в инсайде пинговать аутсаудовские хосты... трафик
> должен проходить без явного разрешения, потому что 100>20
пробовал уже...все-таки qemu глючит, других причин я не вижу

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "asa transparent mode"	+/–
Сообщение от Aleks305 (ok) on 22-Янв-11, 16:42
так есть у кого-нить мнение по моему вопросу?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "asa transparent mode"	+/–
Сообщение от OvDP (ok) on 24-Янв-11, 05:48
>[оверквотинг удален] > здесь 2 бриджа в пределах одного подсети. > б) Можно ли настроить взаимодействие между серверами в приведенной схеме(между сегментом > zachita и net_zachity)? > в) Чтобы увеличить пропускную способность можно ли добавить еще по одному бриджу > в каждый сегмент сети (будет не два бриджа, а 4). > г) Если схема, не работоспособна, не могли бы подсказать в какую сторону > смотреть, чтобы решить задачу? > Напомню, главное ограничение - нельзя менять ip в сегменте vlan140/ > Всем спасибо! > Ссылка на сайт, где приведена схема. http://tinypic.com/r/531mxj/7 можно поподробнее, для чего вы это хотите сделать? зачем разделять сеть на "защищаемую" и "не защищаемую"?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "asa transparent mode"	+/–
	Сообщение от Aleks305 (ok) on 24-Янв-11, 20:12
	>[оверквотинг удален] >> zachita и net_zachity)? >> в) Чтобы увеличить пропускную способность можно ли добавить еще по одному бриджу >> в каждый сегмент сети (будет не два бриджа, а 4). >> г) Если схема, не работоспособна, не могли бы подсказать в какую сторону >> смотреть, чтобы решить задачу? >> Напомню, главное ограничение - нельзя менять ip в сегменте vlan140/ >> Всем спасибо! >> Ссылка на сайт, где приведена схема. http://tinypic.com/r/531mxj/7 > можно поподробнее, для чего вы это хотите сделать? зачем разделять сеть на > "защищаемую" и "не защищаемую"? В этом серверном сегменте расположено около 70 серверов, часть из них содержит информацию, которые необходимо защищать. Примерно 10 из 70. Поэтому и хотим часть защищать, а часть нет + еще всякие требования законодательства. Вначале хотели разделить эти подсети выделением во разные vlan с другим ip-адресами. Но наши дбашники залупились, что изменив ip-адреса, могут незаработать критичные для бизнеса сервиса. Вот и думаю теперь, как сделать что-то...
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "asa transparent mode"	+/–
	Сообщение от OvDP (ok) on 24-Янв-11, 21:34
	что приходит в голову: 1. защитить всё (на будущее так сказать). собрать все сервера на инсайде асы с помощью коммутатора, асу настроить как transparent firewall, аутсайд интерфейс асы в коммутатор ядра. Не забываем про пропускную способность железяки. 2. защитить один сегмент. Собрать оба сегмента на разных коммутаторах, сервера важного сегмента аплинком на инсайд интерфейс асы, асу настроить как transparent firewall, аутсайд интерфейс асы в коммутатор ядра. второй сегмент сразу на коммутатор ядра. проверял, как-то раз. transparent firewall работает, но в силу требования проекта фича не прижилась. у асы в режмиме transparent firewall есть куча нюансов: http://www.cisco.com/en/US/docs/security/asa/asa80/configura... пример конфигурации: http://xgu.ru/wiki/Cisco_ASA/Transparent_firewall
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "asa transparent mode"	+/–
	Сообщение от Aleks305 (ok) on 24-Янв-11, 22:18
	>[оверквотинг удален] > transparent firewall, аутсайд интерфейс асы в коммутатор ядра. Не забываем про > пропускную способность железяки. > 2. защитить один сегмент. > Собрать оба сегмента на разных коммутаторах, сервера важного сегмента аплинком на инсайд > интерфейс асы, асу настроить как transparent firewall, аутсайд интерфейс асы в > коммутатор ядра. второй сегмент сразу на коммутатор ядра. > проверял, как-то раз. transparent firewall работает, но в силу требования проекта фича > не прижилась. > у асы в режмиме transparent firewall есть куча нюансов: http://www.cisco.com/en/US/docs/security/asa/asa80/configura... > пример конфигурации: http://xgu.ru/wiki/Cisco_ASA/Transparent_firewall вынес из пункта 2 новую идею, че-то сам сначала не додумался, что из незащищаемого сегмента аплинк на коммутатор уровня ядра кинуть, я все сначала думал аплинк в асу засунуть. По-Вашему мнению, сервера смогут в защищаемом и незащищаемом сегменте общаться между собой? думаю, что должны... а альтернативу cisco asa не можете предложить, ну чтобы и транспарент режим поддерживала и может чтобы подешевле... завтра попробую стенд собрать. спасибо за ответ
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "asa transparent mode"	+/–
	Сообщение от OvDP (ok) on 24-Янв-11, 22:28
	>[оверквотинг удален] >> у асы в режмиме transparent firewall есть куча нюансов: http://www.cisco.com/en/US/docs/security/asa/asa80/configura... >> пример конфигурации: http://xgu.ru/wiki/Cisco_ASA/Transparent_firewall > вынес из пункта 2 новую идею, че-то сам сначала не додумался, что > из незащищаемого сегмента аплинк на коммутатор уровня ядра кинуть, я все > сначала думал аплинк в асу засунуть. По-Вашему мнению, сервера смогут в > защищаемом и незащищаемом сегменте общаться между собой? думаю, что должны... > а альтернативу cisco asa не можете предложить, ну чтобы и транспарент режим > поддерживала и может чтобы подешевле... > завтра попробую стенд собрать. > спасибо за ответ хм... dfl от dlink... в рутере восьмисотый работал стабильно, в транспарент не проверял (хотя фича есть)... но блин в логике работы иногда без бутылки не разберешься... имхо не стоит в вашем случае мелочиться..
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "asa transparent mode"	+/–
	Сообщение от Aleks305 (ok) on 25-Янв-11, 11:03
	Реши собрать в gns3 схему, чтобы попробовать понастравивать asa в transparent-режиме. Сначала собрал в routing, там все нормально, правила настраиваются корректно, можно манипулировать. В transparent даже при явно заданных permit ip any any пинги с хоста с инсайда не достигают аутсайда. Не пойму в чем дело. Вот конфиг: ASA Version 8.0(2) ! firewall transparent hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0/0 nameif inside security-level 100 ! interface Ethernet0/1 nameif outside security-level 20 ! interface Ethernet0/2 shutdown no nameif no security-level ! interface Ethernet0/3 shutdown no nameif no security-level ! interface Ethernet0/4 shutdown no nameif no security-level ! interface Ethernet0/5 shutdown no nameif no security-level ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive access-list 5 extended permit ip host 15.0.0.2 host 15.0.0.10 access-list 6 extended permit ip host 15.0.0.10 host 15.0.0.5 pager lines 24 mtu inside 1500 mtu outside 1500 ip address 15.0.0.5 255.255.255.0 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 access-group 5 in interface inside access-group 6 in interface outside timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart no crypto isakmp nat-traversal telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list Не пойму, в чем проблема. Смотрую на статистику обработки пакетов на интерфейсах - все дропаются.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "asa transparent mode"	+/–
	Сообщение от OvDP (ok) on 25-Янв-11, 11:37
	>[оверквотинг удален] > no snmp-server contact > snmp-server enable traps snmp authentication linkup linkdown coldstart > no crypto isakmp nat-traversal > telnet timeout 5 > ssh timeout 5 > console timeout 0 > threat-detection basic-threat > threat-detection statistics access-list > Не пойму, в чем проблема. Смотрую на статистику обработки пакетов на интерфейсах > - все дропаются. сделайте тупо по примеру для начала
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "asa transparent mode"	+/–
	Сообщение от Aleks305 (ok) on 25-Янв-11, 12:08
	> сделайте тупо по примеру для начала так я так и сделал, правили про icmp и так и этак крутил... не получилось пингу пройти через асу. А вот с ее менеджмент интерфейса пинг проходит и на инсайд и на аутсайд
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "asa transparent mode"	+/–
	Сообщение от OvDP (ok) on 25-Янв-11, 12:35
	>> сделайте тупо по примеру для начала > так я так и сделал, правили про icmp и так и этак > крутил... не получилось пингу пройти через асу. А вот с ее > менеджмент интерфейса пинг проходит и на инсайд и на аутсайд попробуйте: 1. навесит на интерфейсы ацл эни ту эни 2. пропинговать с асы в обе стороны
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "asa transparent mode"	+/–
	Сообщение от Aleks305 (ok) on 25-Янв-11, 14:34
	>>> сделайте тупо по примеру для начала >> так я так и сделал, правили про icmp и так и этак >> крутил... не получилось пингу пройти через асу. А вот с ее >> менеджмент интерфейса пинг проходит и на инсайд и на аутсайд > попробуйте: > 1. навесит на интерфейсы ацл эни ту эни > 2. пропинговать с асы в обе стороны пробовал permit ip any any вешать на inside и outside, пинги с асы в обе стороны проходят замечательно. Блин, то ли qemu тупит...то ли я
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "asa transparent mode"	+/–
	Сообщение от OvDP (ok) on 25-Янв-11, 14:39
	>>>> сделайте тупо по примеру для начала >>> так я так и сделал, правили про icmp и так и этак >>> крутил... не получилось пингу пройти через асу. А вот с ее >>> менеджмент интерфейса пинг проходит и на инсайд и на аутсайд >> попробуйте: >> 1. навесит на интерфейсы ацл эни ту эни >> 2. пропинговать с асы в обе стороны > пробовал permit ip any any вешать на inside и outside, пинги с > асы в обе стороны проходят замечательно. Блин, то ли qemu тупит...то > ли я уберите сцлы и попробуйте с хоста в инсайде пинговать аутсаудовские хосты... трафик должен проходить без явного разрешения, потому что 100>20
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "asa transparent mode"	+/–
	Сообщение от Aleks305 (ok) on 25-Янв-11, 15:02
	>[оверквотинг удален] >>>> крутил... не получилось пингу пройти через асу. А вот с ее >>>> менеджмент интерфейса пинг проходит и на инсайд и на аутсайд >>> попробуйте: >>> 1. навесит на интерфейсы ацл эни ту эни >>> 2. пропинговать с асы в обе стороны >> пробовал permit ip any any вешать на inside и outside, пинги с >> асы в обе стороны проходят замечательно. Блин, то ли qemu тупит...то >> ли я > уберите сцлы и попробуйте с хоста в инсайде пинговать аутсаудовские хосты... трафик > должен проходить без явного разрешения, потому что 100>20 пробовал уже...все-таки qemu глючит, других причин я не вижу
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору