Jump to content
Калькуляторы

Проброс портоа Cisco ASA 5505

Прошу сильно не ругать, поскольку с устройством работаю впервые. У нас закупили Cisco ASA 5505, есть 1 внешний статический IP-адрес. За ним находися несколько серверов для доступа к которым извне необходимо пробросить ряд портов. Порт в порт пробрасывается, если порты отличаются на интерфейсах, то ничего не выходит. Эти порты пока не могу пробросить.

Внешний порт - 82, внутрениий порт - 81, хост - 192.168.1.142;

Внешний порт - 83, внутрениий порт - 7000, хост - 192.168.1.143;

Внешний порт - 84, внутрениий порт - 81, хост - 192.168.1.144;

Внешний порт - 86, внутрениий порт - 8000, хост - 192.168.1.146

Версия ПО на Cisco 8.3

 

Вот конфиг

 

SA Version 8.3(1)

!

hostname gibtech

domain-name gibtech.ru

enable password 8Ry2YjIyt7RRXU24 encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

names

!

interface Vlan2

nameif inside

security-level 0

ip address 91.191.253.130 255.255.255.252

!

interface Ethernet0/0

switchport access vlan 2

no shut

 

dns server-group DefaultDNS

domain-name gibtech.ru

dns domain-lookup inside

dns server-group FirstDNS

domain-name gibtech.ru

name-server 212.49.103.2

dns server-group SecondaryDNS

name-server 212.49.118.2

object network obj_any

subnet 0.0.0.0 0.0.0.0

route outside 0.0.0.0 0.0.0.0 91.191.253.129

telnet 192.168.1.128 255.255.255.128 inside

telnet 192.168.1.254 255.255.255.255 inside

passwd admin

ssh 192.168.1.128 255.255.255.128 inside

ssh 0.0.0.0 0.0.0.0 outside

passwd admin

-------------------------------

object network ElmaServer

host 192.168.1.100

object network ElmaServer7000

host 192.168.1.100

object network ElmaServer7100

host 192.168.1.100

object network ElmaServer5900

host 192.168.1.100

object network ElmaServer5901

host 192.168.1.100

object network ElmaServer5902

host 192.168.1.100

object network ElmaServer5903

host 192.168.1.100

object network ElmaServer5904

host 192.168.1.100

object network ElmaServer5905

host 192.168.1.100

object network ElmaServer5906

host 192.168.1.100

object network ElmaServer81

host 192.168.1.141

object network ElmaServer83

host 192.168.1.143

object network ElmaServer84

host 192.168.1.144

object network ElmaServer82

host 192.168.1.142

object network ElmaServer3389

host 192.168.1.140

object network obj-192.168.1.0

subnet 192.168.1.0 255.255.255.0

object-group service 123 tcp-udp

port-object eq www

port-object eq 7000

port-object eq 7100

port-object eq 5900

port-object eq 5901

port-object eq 5902

port-object eq 5903

port-object eq 5904

port-object eq 5905

port-object eq 5906

port-object eq 3389

port-object eq 81

port-object eq 82

port-object eq 83

port-object eq 84

object-group protocol TCPUDP

protocol-object udp

protocol-object tcp

access-list inside_access_in extended permit ip object obj-192.168.1.0 any

access-list inside_access_in extended deny object-group TCPUDP any any eq www inactive

access-list inside_access_in extended deny object-group TCPUDP any any eq 7000 inactive

access-list inside_access_in extended deny object-group TCPUDP any any eq 7100 inactive

access-list inside_access_in extended deny object-group TCPUDP any any eq 5900 inactive

access-list inside_access_in extended deny object-group TCPUDP any any eq 5901 inactive

access-list inside_access_in extended deny object-group TCPUDP any any eq 5902 inactive

access-list inside_access_in extended deny object-group TCPUDP any any eq 5903 inactive

access-list inside_access_in extended deny object-group TCPUDP any any eq 5904 inactive

access-list inside_access_in extended deny object-group TCPUDP any any eq 5905 inactive

access-list inside_access_in extended deny object-group TCPUDP any any eq 5906 inactive

---------------------------------------------------------------------------------------

access-list inside_access_in extended deny object-group TCPUDP any any eq 3389 inactive

access-list inside_access_in extended deny object-group TCPUDP any any eq 81 inactive

access-list inside_access_in extended deny object-group TCPUDP any any eq 82 inactive

access-list inside_access_in extended deny object-group TCPUDP any any eq 83 inactive

access-list inside_access_in extended deny object-group TCPUDP any any eq 84 inactive

----------------------------------------------------------------------------------------

access-list outside_access_in extended permit tcp any object ElmaServer eq www

access-list outside_access_in extended permit tcp any object ElmaServer7000 eq 7000

access-list outside_access_in extended permit tcp any object ElmaServer7100 eq 7100

access-list outside_access_in extended permit tcp any object ElmaServer5900 eq 5900

access-list outside_access_in extended permit tcp any object ElmaServer5901 eq 5901

access-list outside_access_in extended permit tcp any object ElmaServer5902 eq 5902

access-list outside_access_in extended permit tcp any object ElmaServer5903 eq 5903

access-list outside_access_in extended permit tcp any object ElmaServer5904 eq 5904

access-list outside_access_in extended permit tcp any object ElmaServer5905 eq 5905

access-list outside_access_in extended permit tcp any object ElmaServer5906 eq 5906

access-list outside_access_in extended permit tcp any object ElmaServer3389 eq 3389

----------------------------------------------------------------------------------------

access-list outside_access_in extended permit tcp any object ElmaServer81 eq 81

access-list outside_access_in extended permit tcp any object ElmaServer83 eq 83

access-list outside_access_in extended permit tcp any object ElmaServer84 eq 84

access-list outside_access_in extended permit tcp any object ElmaServer82 eq 82

----------------------------------------------------------------------------------------

object network ElmaServer

nat (inside,outside) static interface service tcp www www

object network ElmaServer7000

nat (inside,outside) static interface service tcp 7000 7000

object network ElmaServer7100

nat (inside,outside) static interface service tcp 7100 7100

object network ElmaServer5900

nat (inside,outside) static interface service tcp 5900 5900

object network ElmaServer5901

nat (inside,outside) static interface service tcp 5901 5901

object network ElmaServer5902

nat (inside,outside) static interface service tcp 5902 5902

object network ElmaServer5903

nat (inside,outside) static interface service tcp 5903 5903

object network ElmaServer5904

nat (inside,outside) static interface service tcp 5904 5904

object network ElmaServer5905

nat (inside,outside) static interface service tcp 5905 5905

object network ElmaServer5906

nat (inside,outside) static interface service tcp 5906 5906

object network ElmaServer3389

nat (inside,outside) static interface service tcp 3389 3389

-----------------------------------------------------------------------------------------

object network ElmaServer81

nat (inside,outside) static interface service tcp 81 81

object network ElmaServer83

nat (inside,outside) static interface service tcp 7000 83

object network ElmaServer84

nat (inside,outside) static interface service tcp 84 81

object network ElmaServer82

nat (inside,outside) static interface service tcp 82 81

-----------------------------------------------------------------------------------------

object network obj-192.168.1.0

nat (inside,outside) dynamic interface

access-group inside_access_in in interface inside

access-group outside_access_in in interface outside

Share this post


Link to post
Share on other sites

global (outside) 1 interface
nat (inside) 1 192.0.2.0 255.255.255.0
static (inside,outside) tcp interface 5901 192.0.2.250 5900 netmask 255.255.255.255

Работает, но м.б. я что-то не так делаю.

Share this post


Link to post
Share on other sites

Если не ошибаюсь, то

nat (inside,outside) static interface service tcp 7000 83

Пробрасывает внешний порт 7000 на внутренний порт 83. Т.е. порядок портов должен быть обратным. Могу ошибаться - новый синтаксис у ASA 100% не помню, но если не ошибаюсь - порядок портов все равно <ext> <int>.

Лучше воспользуйтесь старым синтаксисом:

static (inside,outside) <tcp/udp> interface <ext port> <int IP> <int port> netmask 255.255.255.255

Edited by Alex/AT

Share this post


Link to post
Share on other sites

Если не ошибаюсь, то

nat (inside,outside) static interface service tcp 7000 83

Пробрасывает внешний порт 7000 на внутренний порт 83. Т.е. порядок портов должен быть обратным. Могу ошибаться - новый синтаксис у ASA 100% не помню, но если не ошибаюсь - порядок портов все равно <ext> <int>.

Лучше воспользуйтесь старым синтаксисом:

static (inside,outside) <tcp/udp> interface <ext port> <int IP> <int port> netmask 255.255.255.255

Первый вариант я пробовал, не работает, второй можно, а разве старый синтаксис в версии ПО 8.3 поддерживается?

Share this post


Link to post
Share on other sites

Никак не могу пробросить порт снаружи внутрь.

За cisco asa находится коммутатор (192.168.100.2). Необходимо сделать доступ по ssh на коммутатор.

 

interface Ethernet0/0
 nameif outside
 security-level 0
 ip address dhcp setroute

interface Ethernet0/1
 nameif inside
 security-level 0
 ip address 192.168.100.1 255.255.255.0

 

object network Switch
 host 192.168.100.2

 

access-list Outtoin extended permit tcp any object Switch eq ssh

 

object network Switch
 nat (inside,outside) static interface   service tcp ssh ssh

 

access-group Outtoin in interface outside

 

Вот все изменения относительно заводского конфига. Не работает. Помогите, пожалуйста!

Share this post


Link to post
Share on other sites

да, обычно там 100, 50 на дмз и 0 снаружи

 

асдм есть?

Share this post


Link to post
Share on other sites
5 minutes ago, zhenya` said:

В логе что?

 

ну и странный security level на инсайде кстати..

Security level я уже какой только не делал. Поменял сейчас на 100. Он таким изначально был, забыл об этом сказать.

 

4 minutes ago, kapydan said:

да, обычно там 100, 50 на дмз и 0 снаружи

 

асдм есть?

АСДМ должен быть, но хотелось бы через консоль это сделать.

Share this post


Link to post
Share on other sites

Не знаю, как точно пользоваться packet-tracer, вроде бы так:

 

ciscoasa# packet-tracer input outside tcp 100.1.1.2 (это адрес обращающегося снаружи) 22 100.1.1.246 (это адрес АСЫ) 22

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
object network Switch
 nat (inside,outside) static interface   service tcp ssh ssh
Additional Information:
NAT divert to egress interface inside
Untranslate 100.1.1.246/22 to 192.168.100.2/22

Phase: 3
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:

Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

Edited by Wz2002

Share this post


Link to post
Share on other sites
3 minutes ago, zhenya` said:

А софт у вас какой?

Сейчас System image file is "disk0:/asa841-11-k8.bin"

Был до этого boot system disk0:/asa917-k8.bin

Никакой разницы, глухо, как в танке.

 

 

Share this post


Link to post
Share on other sites

Я на 917 вчера весь вечер это делал. Результата не добился. Сегодня закачал дополнительно 841.

Уже все порты прокинул на 192.168.100.2, всё равно не работает.

object network Switch
 nat (inside,outside) static interface  

 

Помогите кто-нибудь, можно прям по ssh зайти на эту долбаную АСУ, хоть какой-нибудь порт прокинуть, можно www на тот же самый свич. С меня коньяк или 1000 руб. (на телефон, киви например).

Edited by Wz2002

Share this post


Link to post
Share on other sites

@Wz2002 

4 часа назад, Wz2002 сказал:

Phase: 3
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule

В связи с этим вопрос: а ACL на интерфейсе outside правили, чтобы разрешить входящие сокдинения ssh до 192.168.100.2? Там "по дефолту" запрет на всё, насколько помню.

Share this post


Link to post
Share on other sites
6 minutes ago, azhur said:

@Wz2002 

В связи с этим вопрос: а ACL на интерфейсе outside правили, чтобы разрешить входящие сокдинения ssh до 192.168.100.2? Там "по дефолту" запрет на всё, насколько помню.

access-list Outtoin extended permit tcp any object Switch eq ssh

access-group Outtoin in interface outside

 

Какие только порты и в какой последовательности не писал, ни один не стал доступен снаружи.

Даже так access-list WAN-LAN extended permit ip any any.

Edited by Wz2002

Share this post


Link to post
Share on other sites

Сделал erase flash:

Результат изменился

ciscoasa# packet-tracer input WAN tcp 100.1.1.2 23 100.1.1.244 23

Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
object network Switch
 nat (LAN,WAN) static interface   service tcp telnet telnet
Additional Information:
NAT divert to egress interface LAN
Untranslate 100.1.1.244/23 to 192.168.100.2/23

Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group WAN-LAN in interface WAN
access-list WAN-LAN extended permit tcp any object Switch eq telnet
Additional Information:

Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 4
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
object network Switch
 nat (LAN,WAN) static interface   service tcp telnet telnet
Additional Information:

Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 29, packet dispatched to next module

Result:
input-interface: WAN
input-status: up
input-line-status: up
output-interface: LAN
output-status: down
output-line-status: down
Action: allow

 

Но по путти на 100.1.1.244:23 всё равно нет доступа на свич 192.168.100.2. Ну как же так???

Share this post


Link to post
Share on other sites

Тогда дурацкое предположение: а с маршрутизацией на коммутаторе что, дефолт прописан, куда?
А то может проблема не в АСАшке а в маршрутизации между её внутренним интерфейсом и свитчем?

Share this post


Link to post
Share on other sites
2 minutes ago, azhur said:

Тогда дурацкое предположение: а с маршрутизацией на коммутаторе что, дефолт прописан, куда?
А то может проблема не в АСАшке а в маршрутизации между её внутренним интерфейсом и свитчем?

Иди, я тебя поцелую! Я думал, что нет необходимости на свиче прописывать шлюз, пакеты ведь бегают с асы 192.168.100.1 на свич 192.168.100.2. А оказалось, что надо.

Давай номер телефона или что там у тебя, коньяк отправлять будем :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this