النتائج 1 إلى 10 من 10

الموضوع: سؤال بخصوص الـ ASA -معدل-

  1. #1
    عضو
    تاريخ التسجيل
    Nov 2007
    المشاركات
    17
    الدولة: Saudi Arabia
    معدل تقييم المستوى
    0

    سؤال بخصوص الـ ASA -معدل-



    ارجو من خبراء ASA شرح عربي وافي ل ASA NAT and ASA ACCESS LIST
    و جزاكم الله كل خير

  2. #2
    عضو برونزي الصورة الرمزية sherif-magdy
    تاريخ التسجيل
    Sep 2009
    المشاركات
    1,027
    الدولة: Egypt
    معدل تقييم المستوى
    18

    رد: السلام عليكم ورحمه الله و بركاته

    السلام عليكم ورحمه الله
    اول شىء برجاء الالتزام بعنوان واضح للموضوع و يدل على المحتوى .
    بخصوص سؤال ك فياريت توضح اكتر , فالاكسيس ليست و النات اذا فهمت الفكره العامه لهم على الروتر فى منهج CCNA لن تجد اى مشكله فى فهمهم على ال ASA
    الفرق فقط سيكون فى التطبيق و الاوامر الخاصه بكل جهاز , فلو جزء معين مش فاهمه قولى عليه و هحاول اوضحه لك
    بالتوفيق ,,,,

  3. #3
    عضو
    تاريخ التسجيل
    Nov 2007
    المشاركات
    17
    الدولة: Saudi Arabia
    معدل تقييم المستوى
    0

    رد: سؤال بخصوص الـ ASA -معدل-

    السلام عليكم ورحمه الله و بركاته

    شكرا ياباشمهندس على الرد بس انا عايز اقولك اني بشتغل على gns
    و عملت configuration بس مش عارف اشوف ان كان اللى انا عامله صح والا غلط لاني طبعا حاولت افتح البنج و لكن للاسف مش عارف لية مش عايز يعمل بنج او تريس للip مع انى فتحته بالاكسس لست

    و على العموم هبعتلك نسخة من ال configuration و كمان عايز اعرف انا لية بستعمل ستاتك نات مع اني عايز كل اللى في الشبكة الداخلية يخرجوا على الانترنت كلهم

    ASA Version 8.0(2)
    !
    hostname ASAFW
    enable password 8Ry2YjIyt7RRXU24 encrypted
    names
    !
    interface Ethernet0/0
    description FOR MANAGING ASDM GUI
    nameif manag
    security-level 50
    ip address 192.168.1.1 255.255.255.0
    management-only
    !
    interface Ethernet0/1
    description FOR INSIDE TRUSTED NETWORK
    nameif inside
    security-level 100
    ip address 172.16.16.3 255.255.255.0
    !
    interface Ethernet0/2
    description OUTSIDE (ISP_1) UNTRASTED NETWORK
    nameif outside
    security-level 0
    ip address 192.168.10.3 255.255.255.0
    !
    interface Ethernet0/3
    description FOR FAILOVER (ISP_2)
    shutdown
    nameif outsideR
    security-level 0
    ip address 175.45.10.3 255.255.255.0
    !
    interface Ethernet0/4
    description FOR SERVERS ONLY
    nameif dmz
    security-level 50
    ip address 10.10.10.10 255.255.255.0
    !
    interface Ethernet0/5
    shutdown
    no nameif
    no security-level
    no ip address
    !
    passwd 2KFQnbNIdI.2KYOU encrypted
    boot config disk0:/.private/startup-config
    ftp mode passive
    access-list 101 extended permit icmp any any echo-reply
    access-list 101 extended permit icmp any any time-exceeded
    pager lines 24
    mtu manag 1500
    mtu inside 1500
    mtu outside 1500
    mtu outsideR 1500
    mtu dmz 1500
    no failover
    icmp unreachable rate-limit 1 burst-size 1
    asdm image disk0:/asdm-602.bin
    no asdm history enable
    arp timeout 14400
    nat-control
    static (inside,outside) 192.168.10.3 172.16.16.3 netmask 255.255.255.255
    route outside 0.0.0.0 0.0.0.0 192.168.10.1 1
    route inside 172.10.10.0 255.255.255.0 172.16.16.2 1
    timeout xlate 3:00:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
    timeout uauth 0:05:00 absolute
    dynamic-access-policy-record DfltAccessPolicy
    http server enable
    http 192.168.1.0 255.255.255.0 manag
    no snmp-server location
    no snmp-server contact
    snmp-server enable traps snmp authentication linkup linkdown coldstart
    no crypto isakmp nat-traversal
    telnet timeout 5
    ssh timeout 5
    console timeout 0
    threat-detection basic-threat
    threat-detection statistics port
    threat-detection statistics protocol
    threat-detection statistics access-list
    !
    !
    username cisco password ffIRPGpDSOJh9YLq encrypted privilege 15
    prompt hostname context
    Cryptochecksum:1e24c40babf342f07acad138e5eff6ca
    : end
    ASAFW#



    انا ضللتلك الconfiguration اللى انا عملته بالنسبة للنات و الاكسس ليست و كمان ال interfaces configuration

  4. #4
    عضو برونزي الصورة الرمزية sherif-magdy
    تاريخ التسجيل
    Sep 2009
    المشاركات
    1,027
    الدولة: Egypt
    معدل تقييم المستوى
    18

    رد: سؤال بخصوص الـ ASA -معدل-

    بالنسبه لموضوع البنج فى حاجتين
    انت لم تقم بتفعيل ال ACCESS-LIST على اى انترفيس - استخدم هذا الامر
    access-group 101 in interface INTERFACE_NAME
    شى اخر انت حددت ال echo reply لماذا ؟؟
    هل ما تريده ان يستطيع ال Inside عمل Ping على ال Outside ولا العكس ؟؟؟

    اما بالنسبه لل NAT فالكونفجريشن الحاليه تقوم بعمل Static لهوست واحد فقط و هو 172.16.16.3
    الكونفجريشن الصحيحه لتجعل الجميع يخرجوا الى الانترنت سيكون كتالى :-

    nat (inside) 1 172.16.0.0 255.255.0.0
    global (outside) 1 interface

    يمكنك استبدال الشبكه 172.16.0.0 باى شبكه تريد عمل نات لها او يمكنك استخدام الامر بهذا الشكل ليسرى على اى اى بى يحاول الخروج الى الانترنت

    nat (inside) 1 0.0.0.0 0.0.0.0
    global (outside) 1 interface

    لو فى اى سوال او مشكله تانيه انا تحت امرك

  5. #5
    عضو
    تاريخ التسجيل
    Nov 2007
    المشاركات
    17
    الدولة: Saudi Arabia
    معدل تقييم المستوى
    0

    رد: سؤال بخصوص الـ ASA -معدل-

    السلام عليكم ورحمه الله و بركاته


    شكرا جدا على مساعدتك ليا بس انا عندي شوية اسئلة مهمة جدا


    1- high lvel-security interface can allowed low levl-securtiy interface
    يعني بيسمح له ازاي و باية


    2 - انا عملت configuration هكتبهالك و هقولك كل حاجة انا عملتها بتاعة اية





    ################################################## ###################################


    1- allow all internet users to browsing dmz webserver


    static (dmz,outside) 192.168.10.100 10.10.10.10 netmask 255.255.255.255
    _______________________________


    access-list IN_OUTSIDE extended permit tcp any host 192.168.10.100 eq www


    access-group IN_OUTSIDE in interface outside


    ################################################## ##########################


    2- allow allinside users to connect internet (outside)


    nat |(inside) 1 0.0.0.0 0.0.0.0 1


    global (outside) 1 interface
    _________________________________


    access-list IN_INSIDE extended permit tcp any any


    access-group IN_INSIDE in interface inside


    ################################################## ###########################


    3- allow all users inside to access dmz webserver


    static (dmz,inside) 172.16.16.100 10.10.10.10 netmask 255.255.255.255
    ______________________________________


    access-list DMZ_INSIDE extended permit tcp any host 172.16.16.100 eq www


    access-group DMZ_INSIDE in interface inside









    اولا :- ياريت حضرتك تقولي اية الغلط بتاعي وياريت تشرحلي يعني اية inbound and outbound


    اكتبلي ازاي افتح البنتج منم الداخل للخارجيعني من inside to outside






    انا هكتبلك باقي الانترفيسات و الip address




    ASA Version 8.0(2)

    !
    hostname ASAFW
    enable password 8Ry2YjIyt7RRXU24 encrypted
    names
    !
    interface Ethernet0/0
    description FOR MANAGING ASDM GUI
    nameif manag
    security-level 50
    ip address 192.168.1.1 255.255.255.0
    management-only
    !
    interface Ethernet0/1
    description FOR INSIDE TRUSTED NETWORK
    nameif inside
    security-level 100
    ip address 172.16.16.3 255.255.255.0
    !
    interface Ethernet0/2
    description OUTSIDE (ISP_1) UNTRASTED NETWORK
    nameif outside
    security-level 0
    ip address 192.168.10.3 255.255.255.0
    !
    interface Ethernet0/3
    description FOR FAILOVER (ISP_2)
    shutdown
    nameif outsideR
    security-level 0
    ip address 175.45.10.3 255.255.255.0
    !
    interface Ethernet0/4
    description FOR SERVERS ONLY
    nameif dmz
    security-level 50
    ip address 10.10.10.10 255.255.255.0
    !
    interface Ethernet0/5
    shutdown
    no nameif
    no security-level
    no ip address
    !
    passwd 2KFQnbNIdI.2KYOU encrypted
    boot config disk0:/.private/startup-config
    ftp mode passive
    same-security-traffic permit inter-interface
    same-security-traffic permit intra-interface


    access-list IN_OUTSIDE extended permit tcp any host 192.168.10.100 eq www
    access-list IN_INSIDE extended permit tcp any any eq www
    access-list DMZ_INSIDE extended permit tcp any host 172.16.16.100 eq www



    pager lines 24
    mtu manag 1500
    mtu inside 1500
    mtu outside 1500
    mtu outsideR 1500
    mtu dmz 1500
    no failover
    icmp unreachable rate-limit 1 burst-size 1
    asdm image disk0:/asdm-602.bin
    no asdm history enable
    arp timeout 14400
    nat-control
    global (outside) 1 interface
    nat (inside) 1 0.0.0.0 0.0.0.0
    static (dmz,outside) 192.168.10.100 10.10.10.10 netmask 255.255.255.255
    static (dmz,inside) 172.16.16.100 10.10.10.10 netmask 255.255.255.255
    access-group IN_INSIDE in interface inside
    access-group IN_OUTSIDE in interface outside
    route outside 0.0.0.0 0.0.0.0 192.168.10.1 1
    route inside 172.10.10.0 255.255.255.0 172.16.16.2 1
    timeout xlate 3:00:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
    timeout uauth 0:05:00 absolute
    dynamic-access-policy-record DfltAccessPolicy
    http server enable
    http 192.168.1.0 255.255.255.0 manag
    no snmp-server location
    no snmp-server contact
    snmp-server enable traps snmp authentication linkup linkdown coldstart
    no crypto isakmp nat-traversal
    telnet timeout 5
    ssh timeout 5
    console timeout 0
    threat-detection basic-threat
    threat-detection statistics port
    threat-detection statistics protocol
    threat-detection statistics access-list
    !
    !
    username cisco password ffIRPGpDSOJh9YLq encrypted privilege 15
    prompt hostname context
    Cryptochecksum:2ba6ddffd46481495800b3b9285f1d18
    : end
    ASAFW#


    و اخيرا جزاك الله كل خير يا باشمهندس شريف

  6. #6
    عضو برونزي الصورة الرمزية sherif-magdy
    تاريخ التسجيل
    Sep 2009
    المشاركات
    1,027
    الدولة: Egypt
    معدل تقييم المستوى
    18

    رد: سؤال بخصوص الـ ASA -معدل-

    اول حاجه خلينا نتفق على حاجه
    طالما انت موجود على انترفيس ال security-level بتاعه عالى زى ال Inside interface مثلا ال sec-lvl بتاعه بيساوى 100 يبقى انت كده تقدر تروح و تعدى من اى انترفيس اخر ال Sec-lvl بتاعه اقل من 100 من غير اى اكسيس لست
    يعنى لو انت على ال Inside انترفيس تقدر تعدى من ال Outside انترفيس لان ال sec-lvl بتاعه ال Outside اقل من ال inside

    شوف انا هتكبلك الكونفجريشن

    1- allow all internet users to browsing dmz webserver
    static (dmz,outside) 192.168.10.100 10.10.10.10 netmask 255.255.255.255
    _______________________________

    access-list IN_OUTSIDE extended permit tcp any host 192.168.10.100 eq www
    access-group IN_OUTSIDE in interface outside

    ################################################## ##########################


    2- allow allinside users to connect internet (outside)

    nat |(inside) 1 0.0.0.0 0.0.0.0 1
    global (outside) 1 interface
    _________________________________


    access-list IN_INSIDE extended permit tcp any any
    access-group IN_INSIDE in interface inside


    ################################################## ###########################


    3- allow all users inside to access dmz webserver

    static (dmz,inside) 172.16.16.100 10.10.10.10 netmask 255.255.255.255
    ______________________________________

    access-list IN_INSIDE extended permit tcp any host 172.16.16.100 eq www


    اول حاجه انا شايف ان الاكسيس ليست الخاصه بال Inside انترفيس لا فائده منها - الا اذا كنت تريد فرض قيود معينه على المستخدمين
    بالنسبه للخطأ اللى انا شايفه هو انك حاولت تطبق اتنين اكسيس لست فى نفس الاتجاه و نفس الانترفيس لذلك يجب ان تكون الثانيه بنفس اسم الاولى

    اما البنج فكل اللى هتعمله انك تفتح ال echo على ال Inside
    access-list IN_INSIDE extended permit icmp any any echo

    و الecho-reply على ال outside
    access-list IN_OUTSIDE extended permit icmp any any echo-reply



    بالنسبه للفرق بين Inbound و Outbound
    Inbound traffic - تدل على اى ترافيك فى اتجاه الدخول - فمثلا لو قلنا ال Inbound traffic التى تاتى على ال Outside انترفيس , نقصد بهذا اى ترافيك تدخل الى هذا الانترفيس و التى ستكون فى هذا المثال هى الانترنت ترافيك

    Outbound traffic - تدل على اى ترافيك فى اتجاه الخروج - يعنى مثلا لو قلنا ال Outbound traffic على ال Outside انترفيس فاننا بهذا نقصد اى ترافيك تخرج من ال Outside interface


    اتمنى اكون ساعدتك لو محتاج اى شىء تانى فى الكونجريشن اخبرنى و يمكنك اذا احببت اذا كان لديك Puplic IP ارسله لى على الخاص و قم بفتح التلنت عده دقائق و اقوم باعداده لك اذا احببت

    بالتوفيق ,,,

  7. #7
    عضو
    تاريخ التسجيل
    Nov 2007
    المشاركات
    17
    الدولة: Saudi Arabia
    معدل تقييم المستوى
    0

    رد: سؤال بخصوص الـ ASA -معدل-

    اولا السلام عليكم و رحمه الله و بركاته

    شكرا جدا على المساعدة الجليلة اللى بتقدمهالي و جزاك الله خير






    interface Ethernet0/1 ولكن المشكلة ان بين الانترفيسات اللى انت شايفها مفيش استجابة
    description FOR INSIDE TRUSTED NETWORK بمعنى تاني ان و كأن الشبكة بتاعة 172.16.16.0 مش شايفة و مش عارفة الشبكة بتاعة 192.168.10.0
    nameif inside و طبعا دة ماثر تاثير كبير على الشبكة بتاعة ال inside لانها مش بتعمل بنج خالص على النترفيس بتاع ال outside
    security-level 100
    ip address 172.16.16.3 255.255.255.0 بمعنى تاني اني لما بطبق الامر ASA(conf)# trace 192.168.10.3 source 172.16.16.3


    بتكون النتيجة 1 * * *
    و هكذا 2 * * *


    انا مش عارف هل دي مشكلة في الراوتنج والا اية بالظبط

    interface Ethernet0/2
    description OUTSIDE (ISP_1) UNTRASTED NETWORK
    nameif outside
    security-level 0
    ip address 192.168.10.3 255.255.255.0

  8. #8
    عضو برونزي الصورة الرمزية sherif-magdy
    تاريخ التسجيل
    Sep 2009
    المشاركات
    1,027
    الدولة: Egypt
    معدل تقييم المستوى
    18

    رد: سؤال بخصوص الـ ASA -معدل-

    طيب انا علشان اقدر اساعدك بشكل كامل ومنظم هطلب منك ثلاثه اشياء :-
    1- ال Topology الخاصه بالشبكه و يكون عليها عنواين الاى بى .
    2- كل ال Tasks التى تريد تنفيذها .
    3- ال running Config بشكل كامل .

    لو تعرف تنظم اللى مطلوب ده فى مشاركه واحده بطريقه منظمة ساقوم بارسال ملف يحتوى على الكونفجريشن الذى تحتاجه حسب المتطلبات .
    بالتوفيق ,,,

  9. #9
    عضو برونزي الصورة الرمزية sherif-magdy
    تاريخ التسجيل
    Sep 2009
    المشاركات
    1,027
    الدولة: Egypt
    معدل تقييم المستوى
    18

    رد: سؤال بخصوص الـ ASA -معدل-

    تمام وصلنى كل شىء
    سؤال اخير بالنسبه لما تريده
    1- all inside users connect to internet
    ما هو نوع ما تريد السماح به للخروج الى الانترنت ؟؟ بجانب ال HTTP طبعا

    عموما هعدل على الكونفجريشن و ابعتلك نسخه

  10. #10
    عضو برونزي الصورة الرمزية sherif-magdy
    تاريخ التسجيل
    Sep 2009
    المشاركات
    1,027
    الدولة: Egypt
    معدل تقييم المستوى
    18

    رد: سؤال بخصوص الـ ASA -معدل-



    سوال اخر بخصوص هذا العنوان 192.168.10.100
    هل لديك public ip ليستطيع اى الشخص الدخول الى السيرفر عن طريق الانترنت ؟؟
    فانا لا ارى اى Nat تم اعداده
    حتى استطيع اعداده فما هو ال Public ip الذى تريد ان يتم استخدامه ؟؟

المواضيع المتشابهه

  1. سؤال في استخدام وحرارة الانوية (عنوان معدل)
    بواسطة Dr.Computerk22 في المنتدى الأرشيف
    مشاركات: 5
    آخر مشاركة: 14-08-2011, 20:35
  2. نصحية بخصوص نوعين من كروت الشاشة (عنوان معدل)
    بواسطة ahmdgad في المنتدى الأرشيف
    مشاركات: 4
    آخر مشاركة: 14-08-2011, 01:36
  3. [مصر] استفسار بخصوص الاسعار (عنوان معدل)
    بواسطة thecreativex في المنتدى الأرشيف
    مشاركات: 5
    آخر مشاركة: 09-08-2011, 02:12
  4. سؤال عن أداء كرت GTX 560 Ti مع معالج i5 750 (عنوان معدل)
    بواسطة xvivax في المنتدى الأرشيف
    مشاركات: 7
    آخر مشاركة: 13-07-2011, 10:17
  5. .. كام سؤال كده بخصوص PS2 ..
    بواسطة - IT - في المنتدى الأرشيف
    مشاركات: 1
    آخر مشاركة: 04-06-2011, 11:06

المفضلات

ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •