форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Изначальное сообщение		[ Отслеживать ]

"Хотим спрятать сервера за cisco asa 5510"	+/–
Сообщение от fireman2 (ok) on 13-Мрт-12, 10:05
Провайдер предоставляет доступ в  internet по vlan 357 на наш catalyst 3560 (через порт в  trunk-режиме) Выделенная нам подсеть провайдером: 62.x.x.48 255.255.255.240 шлюз провайдера: 62.x.x.49 Есть большое желание спрятать в DMZ за имеющейся cisco asa 5510 сервера. (В данный момент пока пробую на одном сервере) Вот конфиг с asa ASA Version 7.0(8) ! hostname ciscoasa domain-name *******.ru enable password ******* encrypted passwd ******* encrypted names dns-guard ! interface Ethernet0/0 nameif outside security-level 0 ip address 62.x.x.55 255.255.255.240 ! interface Ethernet0/1 nameif DMZ security-level 50a ip address 192.168.7.2 255.255.255.0 ! interface Ethernet0/2 nameif inside security-level 100 ip address 192.168.12.2 255.255.255.0 ! interface Management0/0 nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 management-only ! ftp mode passive access-list OUTSIDE_IN extended permit tcp any host 62.x.x.54 eq www pager lines 24 logging enable logging buffered errors logging trap notifications logging asdm informational logging host inside 192.168.12.194 mtu outside 1500 mtu DMZ 1500 mtu management 1500 mtu inside 1500 asdm image disk0:/asdm-508.bin no asdm history enable arp timeout 14400 global (outside) 1 interface static (DMZ,outside) 62.x.x.54 192.168.7.4 netmask 255.255.255.255 access-group OUTSIDE_IN in interface outside route outside 0.0.0.0 0.0.0.0 62.x.x.49 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute username *** password *** encrypted aaa authentication telnet console LOCAL aaa authentication ssh console LOCAL http server enable http 192.168.1.0 255.255.255.0 management no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet 192.168.12.0 255.255.255.0 inside telnet timeout 10 ssh 192.168.12.0 255.255.255.0 inside ssh timeout 20 console timeout 0 dhcpd address 192.168.1.2-192.168.1.254 management dhcpd lease 3600 dhcpd ping_timeout 50 dhcpd enable management ! class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default   inspect dns maximum-length 512   inspect ftp   inspect h323 h225   inspect h323 ras   inspect rsh   inspect rtsp   inspect esmtp   inspect sqlnet   inspect skinny   inspect sunrpc   inspect xdmcp   inspect sip   inspect netbios   inspect tftp   inspect icmp ! service-policy global_policy global Cryptochecksum:21d1412bb8b291eb75ed67a80a655f37 : end Что я сделал неверно? П.С. Мне нужен доступ к серверу по www на 80 порт. Возможно ли что нужна дополнительная настройка на оборудовании провайдера для работы в такой конфигурации?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Хотим спрятать сервера за cisco asa 5510"	+/–
Сообщение от apex2009 (ok) on 13-Мрт-12, 12:06
> Провайдер предоставляет доступ в  internet по vlan 357 на наш catalyst > > Что я сделал неверно? > П.С. Мне нужен доступ к серверу по www на 80 порт. > Возможно ли что нужна дополнительная настройка на оборудовании провайдера для работы в > такой конфигурации? покажите вывод комманды sh run access-list
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Хотим спрятать сервера за cisco asa 5510"	+/–
	Сообщение от fireman2 (ok) on 13-Мрт-12, 12:20
	>> Провайдер предоставляет доступ в  internet по vlan 357 на наш catalyst >> >> Что я сделал неверно? >> П.С. Мне нужен доступ к серверу по www на 80 порт. >> Возможно ли что нужна дополнительная настройка на оборудовании провайдера для работы в >> такой конфигурации? > покажите вывод комманды sh run access-list ciscoasa# sh run access-list access-list OUTSIDE_IN extended permit tcp any host 62.x.x.54 eq www В итоге с таким конфигом и такой подачей инета имею: трассировка к asa работает, трассировака к ip 62.x.x.54 не работает... и по данному ip из инета сервер не доступен...
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Хотим спрятать сервера за cisco asa 5510"	+/–
	Сообщение от apex2009 (ok) on 13-Мрт-12, 12:34
	> ciscoasa# sh run access-list > access-list OUTSIDE_IN extended permit tcp any host 62.x.x.54 eq www > В итоге с таким конфигом и такой подачей инета имею: > трассировка к asa работает, трассировака к ip 62.x.x.54 не работает... и по > данному ip из инета сервер не доступен... я бы попробовал вот так: access-list OUTSIDE_IN extended permit tcp any host 192.168.7.4 eq 80 у меня по аналогичному правилу есть доступ по 80 порту еще бы поробовал для начала открыть доступ any any к серверу, посмотреть все ли отрабытывает правильно, а потом уже закрывал во всяком случае у нас совпадают конфиги и IOS
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Хотим спрятать сервера за cisco asa 5510"	+/–
	Сообщение от fireman2 (ok) on 13-Мрт-12, 14:27
	>[оверквотинг удален] >> access-list OUTSIDE_IN extended permit tcp any host 62.x.x.54 eq www >> В итоге с таким конфигом и такой подачей инета имею: >> трассировка к asa работает, трассировака к ip 62.x.x.54 не работает... и по >> данному ip из инета сервер не доступен... > я бы попробовал вот так: access-list OUTSIDE_IN extended permit tcp any host > 192.168.7.4 eq 80 > у меня по аналогичному правилу есть доступ по 80 порту > еще бы поробовал для начала открыть доступ any any к серверу, посмотреть > все ли отрабытывает правильно, а потом уже закрывал > во всяком случае у нас совпадают конфиги и IOS Не помогло... Сформулирую более конкретные вопросы: 1.Может ли быть проблема в том, что шлюз 62.x.x.49 не знает что адрес 62.х.х.54 надо искать за 62.х.х.55 (62.х.х.55 - адрес asa)? 2.Как сделать проброс 62.х.х.55 на произвольный сервер за asa? При попытке написать static (DMZ,outside) 62.183.98.54 192.168.7.4 netmask 255.255.255.255 ERROR: Static PAT using the interface requires the use of the 'interface' keyword instead of the interface IP address (Надеюсь, идея понятна: наклепать подинтерфейсов, на каждый реальный ip, и сделать проброс конкретного подинтерфейса на конкретный сервер)
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Хотим спрятать сервера за cisco asa 5510"	+/–
	Сообщение от ivan (??) on 09-Апр-13, 15:34
	>[оверквотинг удален] > Не помогло... > Сформулирую более конкретные вопросы: > 1.Может ли быть проблема в том, что шлюз 62.x.x.49 не знает что > адрес 62.х.х.54 надо искать за 62.х.х.55 (62.х.х.55 - адрес asa)? > 2.Как сделать проброс 62.х.х.55 на произвольный сервер за asa? При попытке написать > static (DMZ,outside) 62.183.98.54 192.168.7.4 netmask 255.255.255.255 > ERROR: Static PAT using the interface requires the use of the 'interface' > keyword instead of the interface IP address > (Надеюсь, идея понятна: наклепать подинтерфейсов, на каждый реальный ip, и сделать проброс > конкретного подинтерфейса на конкретный сервер) у меня так сделано: static (lan,wan) tcp interface 1541 (адрес сервера внутри сети) 1541 netmask 255.255.255.255 static (lan,wan) tcp interface 1560 (адрес сервера внутри сети) netmask 255.255.255.255 static (lan,wan) tcp interface www (адрес сервера внутри сети) www netmask 255.255.255.255
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема