McGregor2006 Опубликовано 3 марта, 2012 · Жалоба Прошу сильно не ругать, поскольку с устройством работаю впервые. У нас закупили Cisco ASA 5505, есть 1 внешний статический IP-адрес. За ним находися несколько серверов для доступа к которым извне необходимо пробросить ряд портов. Порт в порт пробрасывается, если порты отличаются на интерфейсах, то ничего не выходит. Эти порты пока не могу пробросить. Внешний порт - 82, внутрениий порт - 81, хост - 192.168.1.142; Внешний порт - 83, внутрениий порт - 7000, хост - 192.168.1.143; Внешний порт - 84, внутрениий порт - 81, хост - 192.168.1.144; Внешний порт - 86, внутрениий порт - 8000, хост - 192.168.1.146 Версия ПО на Cisco 8.3 Вот конфиг SA Version 8.3(1) ! hostname gibtech domain-name gibtech.ru enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Vlan2 nameif inside security-level 0 ip address 91.191.253.130 255.255.255.252 ! interface Ethernet0/0 switchport access vlan 2 no shut dns server-group DefaultDNS domain-name gibtech.ru dns domain-lookup inside dns server-group FirstDNS domain-name gibtech.ru name-server 212.49.103.2 dns server-group SecondaryDNS name-server 212.49.118.2 object network obj_any subnet 0.0.0.0 0.0.0.0 route outside 0.0.0.0 0.0.0.0 91.191.253.129 telnet 192.168.1.128 255.255.255.128 inside telnet 192.168.1.254 255.255.255.255 inside passwd admin ssh 192.168.1.128 255.255.255.128 inside ssh 0.0.0.0 0.0.0.0 outside passwd admin ------------------------------- object network ElmaServer host 192.168.1.100 object network ElmaServer7000 host 192.168.1.100 object network ElmaServer7100 host 192.168.1.100 object network ElmaServer5900 host 192.168.1.100 object network ElmaServer5901 host 192.168.1.100 object network ElmaServer5902 host 192.168.1.100 object network ElmaServer5903 host 192.168.1.100 object network ElmaServer5904 host 192.168.1.100 object network ElmaServer5905 host 192.168.1.100 object network ElmaServer5906 host 192.168.1.100 object network ElmaServer81 host 192.168.1.141 object network ElmaServer83 host 192.168.1.143 object network ElmaServer84 host 192.168.1.144 object network ElmaServer82 host 192.168.1.142 object network ElmaServer3389 host 192.168.1.140 object network obj-192.168.1.0 subnet 192.168.1.0 255.255.255.0 object-group service 123 tcp-udp port-object eq www port-object eq 7000 port-object eq 7100 port-object eq 5900 port-object eq 5901 port-object eq 5902 port-object eq 5903 port-object eq 5904 port-object eq 5905 port-object eq 5906 port-object eq 3389 port-object eq 81 port-object eq 82 port-object eq 83 port-object eq 84 object-group protocol TCPUDP protocol-object udp protocol-object tcp access-list inside_access_in extended permit ip object obj-192.168.1.0 any access-list inside_access_in extended deny object-group TCPUDP any any eq www inactive access-list inside_access_in extended deny object-group TCPUDP any any eq 7000 inactive access-list inside_access_in extended deny object-group TCPUDP any any eq 7100 inactive access-list inside_access_in extended deny object-group TCPUDP any any eq 5900 inactive access-list inside_access_in extended deny object-group TCPUDP any any eq 5901 inactive access-list inside_access_in extended deny object-group TCPUDP any any eq 5902 inactive access-list inside_access_in extended deny object-group TCPUDP any any eq 5903 inactive access-list inside_access_in extended deny object-group TCPUDP any any eq 5904 inactive access-list inside_access_in extended deny object-group TCPUDP any any eq 5905 inactive access-list inside_access_in extended deny object-group TCPUDP any any eq 5906 inactive --------------------------------------------------------------------------------------- access-list inside_access_in extended deny object-group TCPUDP any any eq 3389 inactive access-list inside_access_in extended deny object-group TCPUDP any any eq 81 inactive access-list inside_access_in extended deny object-group TCPUDP any any eq 82 inactive access-list inside_access_in extended deny object-group TCPUDP any any eq 83 inactive access-list inside_access_in extended deny object-group TCPUDP any any eq 84 inactive ---------------------------------------------------------------------------------------- access-list outside_access_in extended permit tcp any object ElmaServer eq www access-list outside_access_in extended permit tcp any object ElmaServer7000 eq 7000 access-list outside_access_in extended permit tcp any object ElmaServer7100 eq 7100 access-list outside_access_in extended permit tcp any object ElmaServer5900 eq 5900 access-list outside_access_in extended permit tcp any object ElmaServer5901 eq 5901 access-list outside_access_in extended permit tcp any object ElmaServer5902 eq 5902 access-list outside_access_in extended permit tcp any object ElmaServer5903 eq 5903 access-list outside_access_in extended permit tcp any object ElmaServer5904 eq 5904 access-list outside_access_in extended permit tcp any object ElmaServer5905 eq 5905 access-list outside_access_in extended permit tcp any object ElmaServer5906 eq 5906 access-list outside_access_in extended permit tcp any object ElmaServer3389 eq 3389 ---------------------------------------------------------------------------------------- access-list outside_access_in extended permit tcp any object ElmaServer81 eq 81 access-list outside_access_in extended permit tcp any object ElmaServer83 eq 83 access-list outside_access_in extended permit tcp any object ElmaServer84 eq 84 access-list outside_access_in extended permit tcp any object ElmaServer82 eq 82 ---------------------------------------------------------------------------------------- object network ElmaServer nat (inside,outside) static interface service tcp www www object network ElmaServer7000 nat (inside,outside) static interface service tcp 7000 7000 object network ElmaServer7100 nat (inside,outside) static interface service tcp 7100 7100 object network ElmaServer5900 nat (inside,outside) static interface service tcp 5900 5900 object network ElmaServer5901 nat (inside,outside) static interface service tcp 5901 5901 object network ElmaServer5902 nat (inside,outside) static interface service tcp 5902 5902 object network ElmaServer5903 nat (inside,outside) static interface service tcp 5903 5903 object network ElmaServer5904 nat (inside,outside) static interface service tcp 5904 5904 object network ElmaServer5905 nat (inside,outside) static interface service tcp 5905 5905 object network ElmaServer5906 nat (inside,outside) static interface service tcp 5906 5906 object network ElmaServer3389 nat (inside,outside) static interface service tcp 3389 3389 ----------------------------------------------------------------------------------------- object network ElmaServer81 nat (inside,outside) static interface service tcp 81 81 object network ElmaServer83 nat (inside,outside) static interface service tcp 7000 83 object network ElmaServer84 nat (inside,outside) static interface service tcp 84 81 object network ElmaServer82 nat (inside,outside) static interface service tcp 82 81 ----------------------------------------------------------------------------------------- object network obj-192.168.1.0 nat (inside,outside) dynamic interface access-group inside_access_in in interface inside access-group outside_access_in in interface outside Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McGregor2006 Опубликовано 5 марта, 2012 · Жалоба Вообще нет никаких предложений, предположений? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 5 марта, 2012 · Жалоба global (outside) 1 interface nat (inside) 1 192.0.2.0 255.255.255.0 static (inside,outside) tcp interface 5901 192.0.2.250 5900 netmask 255.255.255.255 Работает, но м.б. я что-то не так делаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 6 марта, 2012 (изменено) · Жалоба Если не ошибаюсь, то nat (inside,outside) static interface service tcp 7000 83 Пробрасывает внешний порт 7000 на внутренний порт 83. Т.е. порядок портов должен быть обратным. Могу ошибаться - новый синтаксис у ASA 100% не помню, но если не ошибаюсь - порядок портов все равно <ext> <int>. Лучше воспользуйтесь старым синтаксисом: static (inside,outside) <tcp/udp> interface <ext port> <int IP> <int port> netmask 255.255.255.255 Изменено 6 марта, 2012 пользователем Alex/AT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McGregor2006 Опубликовано 6 марта, 2012 · Жалоба Если не ошибаюсь, то nat (inside,outside) static interface service tcp 7000 83 Пробрасывает внешний порт 7000 на внутренний порт 83. Т.е. порядок портов должен быть обратным. Могу ошибаться - новый синтаксис у ASA 100% не помню, но если не ошибаюсь - порядок портов все равно <ext> <int>. Лучше воспользуйтесь старым синтаксисом: static (inside,outside) <tcp/udp> interface <ext port> <int IP> <int port> netmask 255.255.255.255 Первый вариант я пробовал, не работает, второй можно, а разве старый синтаксис в версии ПО 8.3 поддерживается? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wz2002 Опубликовано 22 ноября, 2018 · Жалоба Никак не могу пробросить порт снаружи внутрь. За cisco asa находится коммутатор (192.168.100.2). Необходимо сделать доступ по ssh на коммутатор. interface Ethernet0/0 nameif outside security-level 0 ip address dhcp setroute interface Ethernet0/1 nameif inside security-level 0 ip address 192.168.100.1 255.255.255.0 object network Switch host 192.168.100.2 access-list Outtoin extended permit tcp any object Switch eq ssh object network Switch nat (inside,outside) static interface service tcp ssh ssh access-group Outtoin in interface outside Вот все изменения относительно заводского конфига. Не работает. Помогите, пожалуйста! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 22 ноября, 2018 · Жалоба В логе что? ну и странный security level на инсайде кстати.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 22 ноября, 2018 · Жалоба да, обычно там 100, 50 на дмз и 0 снаружи асдм есть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wz2002 Опубликовано 22 ноября, 2018 · Жалоба 5 minutes ago, zhenya` said: В логе что? ну и странный security level на инсайде кстати.. Security level я уже какой только не делал. Поменял сейчас на 100. Он таким изначально был, забыл об этом сказать. 4 minutes ago, kapydan said: да, обычно там 100, 50 на дмз и 0 снаружи асдм есть? АСДМ должен быть, но хотелось бы через консоль это сделать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wz2002 Опубликовано 22 ноября, 2018 (изменено) · Жалоба Не знаю, как точно пользоваться packet-tracer, вроде бы так: ciscoasa# packet-tracer input outside tcp 100.1.1.2 (это адрес обращающегося снаружи) 22 100.1.1.246 (это адрес АСЫ) 22 Phase: 1 Type: ACCESS-LIST Subtype: Result: ALLOW Config: Implicit Rule Additional Information: MAC Access list Phase: 2 Type: UN-NAT Subtype: static Result: ALLOW Config: object network Switch nat (inside,outside) static interface service tcp ssh ssh Additional Information: NAT divert to egress interface inside Untranslate 100.1.1.246/22 to 192.168.100.2/22 Phase: 3 Type: ACCESS-LIST Subtype: Result: DROP Config: Implicit Rule Additional Information: Result: input-interface: outside input-status: up input-line-status: up output-interface: inside output-status: up output-line-status: up Action: drop Drop-reason: (acl-drop) Flow is denied by configured rule Изменено 22 ноября, 2018 пользователем Wz2002 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 22 ноября, 2018 · Жалоба А софт у вас какой? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wz2002 Опубликовано 22 ноября, 2018 · Жалоба 3 minutes ago, zhenya` said: А софт у вас какой? Сейчас System image file is "disk0:/asa841-11-k8.bin" Был до этого boot system disk0:/asa917-k8.bin Никакой разницы, глухо, как в танке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 22 ноября, 2018 · Жалоба Лучше таки 9ку. На 8ке там чот немного иначе было. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wz2002 Опубликовано 22 ноября, 2018 (изменено) · Жалоба Я на 917 вчера весь вечер это делал. Результата не добился. Сегодня закачал дополнительно 841. Уже все порты прокинул на 192.168.100.2, всё равно не работает. object network Switch nat (inside,outside) static interface Помогите кто-нибудь, можно прям по ssh зайти на эту долбаную АСУ, хоть какой-нибудь порт прокинуть, можно www на тот же самый свич. С меня коньяк или 1000 руб. (на телефон, киви например). Изменено 22 ноября, 2018 пользователем Wz2002 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azhur Опубликовано 22 ноября, 2018 · Жалоба @Wz2002 4 часа назад, Wz2002 сказал: Phase: 3 Type: ACCESS-LIST Subtype: Result: DROP Config:Implicit Rule В связи с этим вопрос: а ACL на интерфейсе outside правили, чтобы разрешить входящие сокдинения ssh до 192.168.100.2? Там "по дефолту" запрет на всё, насколько помню. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wz2002 Опубликовано 22 ноября, 2018 (изменено) · Жалоба 6 minutes ago, azhur said: @Wz2002 В связи с этим вопрос: а ACL на интерфейсе outside правили, чтобы разрешить входящие сокдинения ssh до 192.168.100.2? Там "по дефолту" запрет на всё, насколько помню. access-list Outtoin extended permit tcp any object Switch eq ssh access-group Outtoin in interface outside Какие только порты и в какой последовательности не писал, ни один не стал доступен снаружи. Даже так access-list WAN-LAN extended permit ip any any. Изменено 22 ноября, 2018 пользователем Wz2002 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wz2002 Опубликовано 23 ноября, 2018 · Жалоба Сделал erase flash: Результат изменился ciscoasa# packet-tracer input WAN tcp 100.1.1.2 23 100.1.1.244 23 Phase: 1 Type: UN-NAT Subtype: static Result: ALLOW Config: object network Switch nat (LAN,WAN) static interface service tcp telnet telnet Additional Information: NAT divert to egress interface LAN Untranslate 100.1.1.244/23 to 192.168.100.2/23 Phase: 2 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group WAN-LAN in interface WAN access-list WAN-LAN extended permit tcp any object Switch eq telnet Additional Information: Phase: 3 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 4 Type: NAT Subtype: rpf-check Result: ALLOW Config: object network Switch nat (LAN,WAN) static interface service tcp telnet telnet Additional Information: Phase: 5 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 6 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 29, packet dispatched to next module Result: input-interface: WAN input-status: up input-line-status: up output-interface: LAN output-status: down output-line-status: down Action: allow Но по путти на 100.1.1.244:23 всё равно нет доступа на свич 192.168.100.2. Ну как же так??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azhur Опубликовано 23 ноября, 2018 · Жалоба Тогда дурацкое предположение: а с маршрутизацией на коммутаторе что, дефолт прописан, куда? А то может проблема не в АСАшке а в маршрутизации между её внутренним интерфейсом и свитчем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wz2002 Опубликовано 23 ноября, 2018 · Жалоба 2 minutes ago, azhur said: Тогда дурацкое предположение: а с маршрутизацией на коммутаторе что, дефолт прописан, куда? А то может проблема не в АСАшке а в маршрутизации между её внутренним интерфейсом и свитчем? Иди, я тебя поцелую! Я думал, что нет необходимости на свиче прописывать шлюз, пакеты ведь бегают с асы 192.168.100.1 на свич 192.168.100.2. А оказалось, что надо. Давай номер телефона или что там у тебя, коньяк отправлять будем :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...