热的 Downloads

×

注意

论坛是只读模式。
Welcome, 来宾
Username: Password: Remember me
  • 页:
  • 1

TOPIC:

ASA 5505 Newbie问题 - 端口翻译? 12年6个月前 #27413

你好!我为严重受教育的受教育而道歉,但这是我的情况:

我试图安装ASA 5505来替换我的老化PIX 515. 515由其他人安装。 PIX陈旧而非合同,因此该软件已过时等。

但是,我的防火墙设置非常基本,因此我只需在ASA 5505中手动创建规则和NAT。我有几个服务器,我需要能够从外部访问端口80,我有Novell GroupWise在哪里我需要访问1677和几个Citrix框(端口1494)。

我的问题似乎是,即使我有一个访问规则,说明允许这些端口,它们失败了。如果我打开所有TCP,它就有工作。在GUI I /认为/认为我的问题是当NAT将我的服务器Internet地址转换为服务器内部地址时,它会玩游戏,它在没有端口规范的情况下传递它。所以说1.2.3.4/80被翻译成192.1.2.1但是在专门的80处不保持它,因此它被隐式规则丢弃以阻止流量。

我很近?这是我的配置(IP和此类编辑):

:保存
:
ASA 7.2(4)
!
Hostname Ciscoasa.
域名default.domain.Invalid
启用密码(编辑)加密
passwd(编辑)加密
名称
!
接口VLAN1.
里面的名称
安全级别100
IP地址(我的内部IP)255.255.255.0
!
接口VLAN2.
外面的名称
安全级0
IP地址(我的extnal IP地址)255.255.255.240
!
接口Ethernet0 / 0
SwitchPort Access VLAN 2
!
接口Ethernet0 / 1
!
接口Ethernet0 / 2
!
接口Ethernet0 / 3
!
接口Ethernet0 / 4
!
接口Ethernet0 / 5
!
接口Ethernet0 / 6
!
接口Ethernet0 / 7
!
FTP模式被动
DNS服务器组DefaultDNS
域名default.domain.Invalid
对象组服务DM_INLINE_TCP_1 TCP
端口对象EQ Citrix-ICA
端口对象eq www
端口对象EQ HTTPS
对象组服务GroupWise TCP
描述GroupWise
端口对象EQ 1677
端口对象EQ 8009
对象组服务DM_INLINE_TCP_2 TCP
端口对象eq www
端口对象EQ HTTPS
端口对象eq imap4
端口对象EQ POP3
端口对象EQ SMTP
端口对象EQ 1677
端口对象EQ 8009
对象组服务DM_INLINE_TCP_3 TCP
端口对象eq www
端口对象EQ HTTPS
对象组服务DM_INLINE_TCP_4 TCP
端口对象EQ FTP
端口对象EQ FTP数据
端口对象eq www
端口对象EQ HTTPS
对象组服务DM_INLINE_TCP_5 TCP
端口对象eq www
端口对象EQ HTTPS
对象组协议TCPUDP
协议 - 对象UDP
协议 - 对象TCP
Access-List exings_access_in备注CTX1 ICA
Access-list exings_access_in扩展许可证TCP任何主机192.168.1.xxx eq citrix-ica
Access-List exings_access_in备注CTX5 ICA
Access-list exings_access_in扩展许可证TCP任何主机192.168.1.xxx eq citrix-ica
Access-List exings_access_in备注CTX2 ICA
Access-list exings_access_in扩展许可证TCP任何主机192.168.1.xxx eq citrix-ica
Access-List exing_access_in备注CTX3
访问列表exings_access_in扩展许可证tcp任何主机192.168.1.xxx对象组dm_inline_tcp_1
Access-list exing_access_in备注CTX4
Access-list exings_access_in扩展许可证TCP任何主机192.168.1.xxx eq citrix-ica
访问列表exings_access_in备注邮件
Access-List exings_access_in扩展许可证TCP任何主机192.168.1.xxx对象组DM_INLE_TCP_2
访问列表exings_access_in备注帮助代表
Access-List exings_access_in扩展许可证TCP任何主机192.168.1.xxx对象组dm_inline_tcp_3
Access-List exings_access_in备注公司
Access-List exings_access_in扩展许可证TCP任何主机192.168.1.xxx对象组dm_inline_tcp_4
访问列表exings_access_in备注citrix
Access-List exings_access_in扩展许可证TCP任何主机192.168.1.xxx对象组dm_inline_tcp_5
Access-List exings_access_in扩展许可证UDP任何主机192.168.1.xxx
寻呼机第24行
记录使能
伐木ASDM信息化学
MTU内部1500
MTU在1500之外
ICMP. 无法访问的速率限制1突发1
asdm图像disk0:/asdm-524.bin
没有ASDM历史使能
ARP超时14400.
全球(外部)1界面
NAT(内部)1 192.168.1.0 255.255.255.0
静态(内部,外部)66.152.xxx.xxx 192.168.1.xxx netmask 255.255.255.255 DNS
静态(内部,外部)66.152.xxx.xxx 192.168.1.xxx netmask 255.255.255.255
静态(内部,外部)66.152.xxx.xxx 192.168.1.xxx netmask 255.255.255.255
静态(内部,外部)66.152.xxx.xxx 192.168.1.xxx netmask 255.255.255.255
静态(内部,外部)66.152.xxx.xxx 192.168.1.xxx netmask 255.255.255.255
静态(内部,外部)66.152.xxx.xxx 192.168.1.xxx netmask 255.255.255.255
静态(内部,外部)66.152.xxx.xxx 192.168.1.xxx netmask 255.255.255.255
静态(内部,外部)66.152.xxx.xxx 192.168.1.xxx netmask 255.255.255.255
静态(内部,外部)66.152.xxx.xxx 192.168.1.xxx netmask 255.255.255.255
在外部接口中访问-Access_incess_Access_in
路线外部0.0.0.0 0.0.0.0 66.152.xxx.xxx 1
超时xlate 3:00:00
Timeout Conn 1:00:00半关闭0:10:00 UDP 0:02:00 ICMP 0:00:02
超时sunrpc 0:10:00 H323 0:05:00 H225 1:00:00 MGCP 0:05:00 MGCP-Pat 0:05:00
超时SIP 0:30:00 SIP_MEDIA 0:02:00 SIP-INVITE 0:03:00 SIP-Disconnect 0:02:00
超时Sip-Provisional-Media 0:02:00 Uauth 0:05:00绝对
HTTP Server启用
http 192.168.1.0 255.255.255.0内部
没有SNMP-Server位置
没有SNMP-Server联系
SNMP-Server启用陷阱SNMP身份验证链接LinkDown Coldstart
Telnet超时5.
SSH超时5.
控制台超时0.
外面的DHCPD AUTO_CONFIG.
!
DHCPD地址192.168.1.xxx-192.168.1.254里面
DHCPD启用内部
!

!
类地图检查_default
匹配默认检查 - 流量
!
!
策略地图类型
参数
消息长度最大512
策略地图global_policy
课程检查_default.
检查DNS Preset_dns_dns_map.
检查ftp.
检查H323 H225
检查H323 RAS.
检查rsh.
检查RTSP.
检查ESMTP.
检查SQLNET.
检查瘦
检查Sunrpc.
检查XDMCP.
检查SIP
检查NetBIOS.
检查TFTP.
!
服务 - 政策Global_Policy Global
提示主机名上下文
cryptochecksum:1f4680b0d2dfdf07a2d17c919b679cda
: 结尾
asdm图像disk0:/asdm-524.bin
没有ASDM历史使能

Re:ASA 5505 Newbie问题 - 端口翻译? 12年6个月前 #27419

  • S0lo
  • S0LO的头像
  • Offline
  • Moderator
  •  主持人
  • Posts: 1577
  • Karma: 3
  • 谢谢你收到:7
Hello BollaertN,

我相信那些访问列表命令目的IP应该指向 外部的 IPs like this:

[代码:1] Access-list exings_access_in备注CTX1 ICA
Access-List exings_access_in扩展允许TCP任何主机66.152.xxx.xxx eq citrix-ICA
Access-List exings_access_in备注CTX5 ICA
Access-List exings_access_in扩展允许TCP任何主机66.152.xxx.xxx eq citrix-ICA
.............
............. [/ code:1]

我还将VLAN1分配给实际连接到内部的界面(除非它是ASA中的默认行为),请说出来是Ethernet0 / 1,然后:

[代码:1]接口Ethernet0 / 1
SwitchPort Access VLAN 1 [/ code:1]

如果没有任何作用,我仍然将我的注意力集中在ACL上,因为你已经说过它没有他们。

PS。数据包示踪剂,不支持asas !!。我不确定你所指的是什么。
学习CCNP ......

ammar muqaddas.
论坛主持人
www.hengshuiwuliu.com.

Re:ASA 5505 Newbie问题 - 端口翻译? 12年6个月前 #27423

1.是的,作为独奏说,您对外部接口具有的访问列表应使用翻译的IP并没有内部IP来寻址。

2.我看到您有静态语句,用于翻译:
静态(内部,外部)66.152.xxx.xxx 192.168.1.xxx netmask 255.255.255.255 DNS
静态(内部,外部)66.152.xxx.xxx 192.168.1.xxx netmask 255.255.255.255
静态(内部,外部)66.152.xxx.xxx 192.168.1.xxx netmask 255.255.255.255
静态(内部,外部)66.152.xxx.xxx 192.168.1.xxx netmask 255.255.255.255
静态(内部,外部)66.152.xxx.xxx 192.168.1.xxx netmask 255.255.255.255
静态(内部,外部)66.152.xxx.xxx 192.168.1.xxx netmask 255.255.255.255
静态(内部,外部)66.152.xxx.xxx 192.168.1.xxx netmask 255.255.255.255
静态(内部,外部)66.152.xxx.xxx 192.168.1.xxx netmask 255.255.255.255
静态(内部,外部)66.152.xxx.xxx 192.168.1.xxx netmask 255.255.255.255

因此,每个静态条目应该有适当的访问列表以允许访问。

前任 :

说你静态语句是这样的
静态(内部,外部)x.x.x.x y.y.y.y netmask 255.255.255.255
然后需要在外部接口上到位的适当访问列表应该如下所示。
Access-list exings_access_in permit ip(Internet IP或Any)主机X.x.x.x。

3.如果您需要帮助,我可以帮助您完成整个配置,请指定您的需求。

顺便说一下,数据包示踪剂是ASDM中可用的实用程序。它用于模拟,如何将来自源到给定目的地的数据包将由防火墙处理(非常酷)!!! 。

请让我知道,如果你有任何问题 。

谢谢
Patiot.

Re:ASA 5505 Newbie问题 - 端口翻译? 12年6个月前 #27432

  • S0lo
  • S0LO的头像
  • Offline
  • Moderator
  •  主持人
  • Posts: 1577
  • Karma: 3
  • 谢谢你收到:7

顺便说一下,数据包示踪剂是ASDM中可用的实用程序。它用于模拟,如何将来自源到给定目的地的数据包将由防火墙处理(非常酷)!!! 。


哦!! :o我虽然他在谈论思科的数据包示踪仿真工具。误解。
学习CCNP ......

ammar muqaddas.
论坛主持人
www.hengshuiwuliu.com.
  • 页:
  • 1
时间创建页面:0.109秒

ccent / ccna.

思科 Routers

  • ssl webvpn.
  • 保护路由器
  • 基于策略的路由
  • 路由器上一根棍子

VPN. 安全

  • 了解DMVPN.
  • GRE / IPSec配置
  • 站点到网站IPSec VPN
  • IPSec模式

思科 Help

  • VPN. 客户端Windows 8
  • VPN. 客户端Windows 7
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 许可
  • Hyper-V / VDI
  • 安装Hyper-V

Linux.

  • 文件权限
  • Webmin
  • 团体 - 用户
  • Samba设置