The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Проблема настройки Cisco ASA\ Access Lists"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"Проблема настройки Cisco ASA\ Access Lists"  +/
Сообщение от Ivan19920612 email(ok) on 13-Окт-16, 12:34 
ASA Version 7.2(4)
!
hostname asa-test
domain-name test.test.com
enable password admin
names
dns-guard
!
interface Vlan1
shutdown
nameif dmz
security-level 50
no ip address
!
interface Vlan5
nameif inside
security-level 0
ip address 192.168.5.1 255.255.252.0
!
interface Vlan6
nameif outside
security-level 10
ip address 192.168.10.2 255.255.252.0
!
interface Ethernet0/0
description Inside
switchport access vlan 5
switchport trunk allowed vlan 6
switchport trunk native vlan 6
switchport mode trunk
!
interface Ethernet0/1
switchport access vlan 2
!
interface Ethernet0/2
shutdown
!
interface Ethernet0/3
shutdown
!
interface Ethernet0/4
shutdown
!
interface Ethernet0/5
switchport access vlan 3
!
interface Ethernet0/6
switchport access vlan 5
!
interface Ethernet0/7
description Inside
switchport trunk allowed vlan 1,5
switchport trunk native vlan 5
switchport mode trunk
!
banner exec ########################################
banner exec This is a ASA for TESTS #
banner exec ########################################
boot system disk0:/asa724-k8.bin
ftp mode passive
clock timezone MSK/MSD 4
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name test.test.com
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group network EXTERNAL
network-object host 8.8.8.8
network-object host 127.92.65.25

object-group network Clients
network-object 192.168.5.0 255.255.255.0

access-list inside_access_in extended permit tcp object-group Clients object-group EXTERNAL
access-list inside_access_out extended permit tcp object-group Clients object-group EXTERNAL
access-list outside_access_out extended permit tcp object-group Clients object-group EXTERNAL
access-list proxyp extended permit ip any any
access-list ADMIN extended permit ip 192.168.5.0 255.255.255.0 any
access-list outside_access_in extended permit tcp object-group Clients object-group EXTERNAL
pager lines 24
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 0.0.0.0 0.0.0.0
access-group inside_access_in in interface inside
access-group inside_access_out out interface inside
access-group outside_access_in in interface outside
access-group outside_access_out out interface outside
http server enable
http 192.168.5.0 255.255.255.0 inside
dhcpd address 192.168.5.10-192.168.5.250 inside

У меня вопрос. как правильно настроить акцесс листы, чтобы из подсети 192.168.5.1/ 255,255,252,0  (Clients)  разрешено было  ходить только на два адреса из группы object-group network EXTERNAL
network-object host 8.8.8.8
network-object host 127.92.65.25

И наоборот.
Я уже третий день копаюсь.
Помогите пожалуйста!
Спасибо!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проблема настройки Cisco ASA\ Access Lists"  +/
Сообщение от crash (ok) on 15-Окт-16, 04:32 
>[оверквотинг удален]
> !
> interface Vlan5
>  nameif inside
>  security-level 0
>  ip address 192.168.5.1 255.255.252.0
> !
> interface Vlan6
>  nameif outside
>  security-level 10
>  ip address 192.168.10.2 255.255.252.0

Вообще обычно security-level 0 это у outside, а inside обычно 100.

> same-security-traffic permit inter-interface
> same-security-traffic permit intra-interface

у вас нет на интерфейсах одинакового security-level, так что эти команды не нужны


> object-group network EXTERNAL
>  network-object host 8.8.8.8
>  network-object host 127.92.65.25
> object-group network Clients
>  network-object 192.168.5.0 255.255.255.0
> access-list inside_access_out extended permit tcp object-group Clients object-group
> EXTERNAL
> access-list outside_access_out extended permit tcp object-group Clients object-group
> EXTERNAL

вообще не ясен скрытый смысл данных правил, тем более что для inside оно написано не правильно.

> access-list outside_access_in extended permit tcp object-group Clients object-group
> EXTERNAL

Если это входящее правило на outside, то оно явно должно быть перевернуто и указаны вместо группы Clients ваш внешний адрес. Хотя лучше настроить inspect в данном случае

> У меня вопрос. как правильно настроить акцесс листы, чтобы из подсети 192.168.5.1/
> 255,255,252,0  (Clients)  разрешено было  ходить только на два

странно, а сами указываете маску 255.255.255.0


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру