热的 Downloads

×

注意

论坛是只读模式。
Welcome, 来宾
Username: Password: Remember me
  • 页:
  • 1

TOPIC:

允许互联网在DMZ问题中 11年7个月前 #31517

你好,这里的新手问题。我有一个ASA 5510,我需要允许对无线网络的DMZ访问互联网,因此客人可以访问互联网。任何建议吗?

谢谢!!!

我的配置:

接口Ethernet0 / 0
外面的名称
安全级0
IP地址65.xxx.xxx.67 255.255.255.224
!
接口Ethernet0 / 1
里面的名称
安全级别100
IP地址10.1.1.3 255.255.255.0
!
接口Ethernet0 / 2
nameif dmz.
安全级别10
IP地址192.168.1.1 255.255.255.0
!
接口Ethernet0 / 3
关掉
没有名字
没有安全级别
没有IP地址
!
接口管理0/0
关掉
没有名字
没有安全级别
没有IP地址
!
FTP模式被动
Clock TimeZone CST -6
时钟夏季时间CDT重复
DNS服务器组DefaultDNS
域名AcmeillinoIs.org
对象组服务SPI1 TCP
端口对象eq www
端口对象EQ POP3
端口对象EQ HTTPS
端口对象EQ SMTP
端口对象EQ 995
端口对象EQ 587
对象组服务NFuse TCP
端口对象eq www
端口对象EQ HTTPS
对象组服务Citrix TCP
端口对象EQ Citrix-ICA
对象组服务CHI1 TCP
端口对象EQ 587
端口对象EQ POP3
对象组服务DMZ1 TCP
描述DMZ端口
端口对象EQ 47807
端口对象EQ 4899
端口对象EQ FTP
端口对象eq www
端口对象EQ域
对象组服务DMZ2 UDP
端口对象EQ 47806
端口对象EQ 47808
Access-List exings_access_in扩展许可证TCP任何主机65.xxx.xxx.75对象组nfuse
访问列表exings_access_in扩展允许tcp任何主机65.xxx.xxx.71对象组Citrix
Access-List exings_access_in扩展许可证ICMP任何呼应回复
Access-List exings_access_in扩展许可证ICMP任何超出任何时间
Access-List exings_access_in扩展许可IP 209.248.59.0 255.255.255.0主机65.xxx.xxx.71
Access-List exings_access_in扩展许可IP 65.171.235.0 255.255.255.0主机65.xxx.xxx.71
Access-List exings_access_in扩展许可IP 209.248.59.0 255.255.255.0主机65.119.0.1
Access-List exings_access_in扩展许可IP 65.171.235.0 255.255.255.0主机65.119.0.1
Access-List exings_access_in扩展许可证TCP任何主机65.xxx.xxx.67对象组SPI1
Access-list exings_access_in扩展允许tcp任何主机65.xxx.xxx.68对象组chi1
访问列表exings_access_in扩展许可证TCP任何主机65.xxx.xxx.69对象组DMZ1
访问列表DMZ_ACCESS_IN扩展许可证ICMP任何
访问列表DMZ_ACCESS_IN扩展允许TCP 192.168.1.0 255.255.255.0 65.xxx.xxx.64 255.255.255.224 eq www
访问列表DMZ_ACCESS_IN扩展许可UDP 192.168.1.0 255.255.255.0任何
Access-List Inside_Access_in扩展许可证ICMP任何
Access-List Inside_Access_in扩展许可IP任何
访问列表INSITE_ACCESS_IN扩展许可IP任何192.168.1.0 255.255.255.0
访问列表INSITE_ACCESS_IN扩展许可UDP 192.168.1.0 255.255.255.0 10.1.1.0 255.255.255.0
访问列表VPN_IN扩展许可IP 10.1.0.0 255.255.0.0 192.168.1.0 255.255.255.0

IP本地池ACMEPOOL 192.168.10.1-192.168.10.200
没有故障转移
在外面监视器接口
监控接口内
监视器接口DMZ
ICMP.无法访问的速率限制1突发1

ARP超时14400.
全球(外部)1界面
全球(DMZ)1接口
NAT(内部)0访问列表VPN_IN
NAT(内部)1 0.0.0.0 0.0.0.0
NAT(DMZ)1 0.0.0.0 0.0.0.0
静态(内部,外部)TCP接口www 10.1.1.10 www netmask 255.255.255.255
静态(内部,外部)TCP接口HTTPS 10.1.1.10 HTTPS NetMask 255.255.255.255
静态(内部,外部)TCP接口POP3 10.1.1.10 POP3 NetMask 255.255.255.255
静态(内部,外部)TCP接口SMTP 10.1.1.6 SMTP NetMask 255.255.255.255
静态(内部,外部)TCP接口587 10.1.1.10 587 NetMask 255.255.255.255
静态(内部,外部)65.xxx.xxx.71 10.1.1.5 NetMask 255.255.255.255
静态(内部,外部)65.xxx.xxx.75 10.1.1.27 NetMask 255.255.255.255
静态(内部,DMZ)10.1.1.149 10.1.1.1.1.1.1.1.149 NetMask 255.255.255.255
静态(内部,外部)65.xxx.xxx.68 10.1.2.6 NetMask 255.255.255.255
静态(DMZ,外部)65.xxx.xxx.69 192.168.1.10 NetMask 255.255.255.255
在外部接口中访问-Access_incess_Access_in
在接口内部访问-roomal-group inside_access_in
接口DMZ中的访问组DMZ_ACCESS_IN
路线外面0.0.0.0 0.0.0.0 65.xxx.xxx.65 1
内部10.1.0.0 255.255.0.0 10.1.1.1 1

HTTP Server启用
HTTP 10.1.1.0 255.255.255.0内部
Telnet 10.1.0.0 255.255.0.0内部
Telnet 192.168.0.0 255.255.0.0内部

RE:允许互联网在DMZ问题中 11年6个月前 #31669

因此,您有一个连接到DMZ的无线网络,您希望允许从DMZ访问互联网?

您的Config似乎是您有一个全局和NAT命令才能允许Internet访问,是192.168.1.x网络上的无线网络吗?

并连接到DMZ?

我可能会错过 - 理解这个问题..

RE:允许互联网在DMZ问题中 11年6个月前 #31733

  • S0lo
  • S0LO的头像
  • Offline
  • Moderator
  • 主持人
  • Posts: 1577
  • Karma: 3
  • 谢谢你收到:7

因此,您有一个连接到DMZ的无线网络,您希望允许从DMZ访问互联网?


SnileWinds,如果Ikon说是你想做的那么,那么尝试修理甚至删除 dmz_access_in. ACL在以下行:

[代码:1] Access-List DMZ_Access_in扩展许可证ICMP任何
访问列表DMZ_ACCESS_IN扩展允许TCP 192.168.1.0 255.255.255.0 65.xxx.xxx.64 255.255.255.224 eq www
访问列表DMZ_ACCESS_IN扩展许可UDP 192.168.1.0 255.255.255.0任何[/ code:1]

隐式拒绝阻止任何用于在DMZ接口中的Internet地址的TCP连接。尝试暂时删除该行:

[Code:1]接口DMZ中的Access-Group DMZ_Access_in [/代码:1]

我只是快速看。可能还有其他问题。
学习CCNP ......

ammar muqaddas.
论坛主持人
www.hengshuiwuliu.com.

Reorganization 11年6个月前 #31842

访问列表DMZ_ACCESS_IN扩展许可证ICMP任何

我不确定这条行是什么,但这不起作用
访问列表DMZ_ACCESS_IN扩展允许TCP 192.168.1.0 255.255.255.0 65.xxx.xxx.64 255.255.255.224 eq www

在这里,您允许所有UDP流量,但您缺少TCP流量。
访问列表DMZ_ACCESS_IN扩展许可UDP 192.168.1.0 255.255.255.0任何

我建议做以下

访问列表DMZ_ACCESS_IN允许TCP 192.168.1.0 255.255.255.0 GT 1023主机10.1.1.149 eq 234

换句话说只允许流量到某些主机,为每个所需的流量添加x n行。由于这两个区域之间没有划痕。

接下来在ACL中,您应该拒绝访问您的内部私人范围
访问列表DMZ_ACCESS_IN DENY IP 192.168.1.0 255.255.255.0 10.1.0.0 255.255.0.0

在此之后,您应该允许下一个
访问列表DMZ_ACCESS_IN允许TCP 192.168.1.0 255.255.255.0 GT1023任何
(或将其缩小到TCP端口20,21,53,80,443 - make对象组)
访问列表DMZ_ACCESS_IN许可UDP 192.168.1.0 255.255.255.0 GT1023任何
(同样在这里)

结束ACL
否认任何日志

申请下一个运行后
调试数据包DMZ SRC 192.168.1.x DST 95.256.125.1
调试数据包外部SRC任何DST 95.256.125.1

你应该看到交通通往ASA并出去外面的世界。

地址192.168.1.x不能通过ASA,因为这个流量不得通过。

请给Sh Ver结果。

问候,
obelisk.

RE:允许互联网在DMZ问题中 11年6个月前 #31922

虽然我不太了解你的架构,可以确定(你是在那里运行公共服务吗?),连接到DMZ的无线词让我颤抖。

你是在使用DMZ的Wi-Fi换句话说,它只是另一个腿部路由器/防火墙吗?我问,因为我在经典意义上想到了DMZ,就像在提供公共服务的细分中一样。

如果是这样的话,那么思考长而难以在DMZ中放置该AP。

干杯,
Sahir Hidayatullah。
Firewall.cx员工 - 助理编辑& Security Advisor
tftfotw.blogspot.com.
  • 页:
  • 1
时间创建页面:0.111秒

ccent / ccna.

思科 Routers

  • ssl webvpn.
  • 保护路由器
  • 基于策略的路由
  • 路由器上一根棍子

VPN.安全

  • 了解DMVPN.
  • GRE / IPSec配置
  • 站点到网站IPSec VPN
  • IPSec模式

思科 Help

  • VPN.客户端Windows 8
  • VPN.客户端Windows 7
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 许可
  • Hyper-V / VDI
  • 安装Hyper-V

Linux.

  • 文件权限
  • Webmin
  • 团体 - 用户
  • Samba设置