ارجو من خبراء ASA شرح عربي وافي ل ASA NAT and ASA ACCESS LIST
و جزاكم الله كل خير
السلام عليكم ورحمه الله
اول شىء برجاء الالتزام بعنوان واضح للموضوع و يدل على المحتوى .
بخصوص سؤال ك فياريت توضح اكتر , فالاكسيس ليست و النات اذا فهمت الفكره العامه لهم على الروتر فى منهج CCNA لن تجد اى مشكله فى فهمهم على ال ASA
الفرق فقط سيكون فى التطبيق و الاوامر الخاصه بكل جهاز , فلو جزء معين مش فاهمه قولى عليه و هحاول اوضحه لك
بالتوفيق ,,,,
السلام عليكم ورحمه الله و بركاته
شكرا ياباشمهندس على الرد بس انا عايز اقولك اني بشتغل على gns
و عملت configuration بس مش عارف اشوف ان كان اللى انا عامله صح والا غلط لاني طبعا حاولت افتح البنج و لكن للاسف مش عارف لية مش عايز يعمل بنج او تريس للip مع انى فتحته بالاكسس لست
و على العموم هبعتلك نسخة من ال configuration و كمان عايز اعرف انا لية بستعمل ستاتك نات مع اني عايز كل اللى في الشبكة الداخلية يخرجوا على الانترنت كلهم
ASA Version 8.0(2)
!
hostname ASAFW
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
description FOR MANAGING ASDM GUI
nameif manag
security-level 50
ip address 192.168.1.1 255.255.255.0
management-only
!
interface Ethernet0/1
description FOR INSIDE TRUSTED NETWORK
nameif inside
security-level 100
ip address 172.16.16.3 255.255.255.0
!
interface Ethernet0/2
description OUTSIDE (ISP_1) UNTRASTED NETWORK
nameif outside
security-level 0
ip address 192.168.10.3 255.255.255.0
!
interface Ethernet0/3
description FOR FAILOVER (ISP_2)
shutdown
nameif outsideR
security-level 0
ip address 175.45.10.3 255.255.255.0
!
interface Ethernet0/4
description FOR SERVERS ONLY
nameif dmz
security-level 50
ip address 10.10.10.10 255.255.255.0
!
interface Ethernet0/5
shutdown
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot config disk0:/.private/startup-config
ftp mode passive
access-list 101 extended permit icmp any any echo-reply
access-list 101 extended permit icmp any any time-exceeded
pager lines 24
mtu manag 1500
mtu inside 1500
mtu outside 1500
mtu outsideR 1500
mtu dmz 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
nat-control
static (inside,outside) 192.168.10.3 172.16.16.3 netmask 255.255.255.255
route outside 0.0.0.0 0.0.0.0 192.168.10.1 1
route inside 172.10.10.0 255.255.255.0 172.16.16.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 manag
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
!
!
username cisco password ffIRPGpDSOJh9YLq encrypted privilege 15
prompt hostname context
Cryptochecksum:1e24c40babf342f07acad138e5eff6ca
: end
ASAFW#
انا ضللتلك الconfiguration اللى انا عملته بالنسبة للنات و الاكسس ليست و كمان ال interfaces configuration
بالنسبه لموضوع البنج فى حاجتين
انت لم تقم بتفعيل ال ACCESS-LIST على اى انترفيس - استخدم هذا الامر
access-group 101 in interface INTERFACE_NAME
شى اخر انت حددت ال echo reply لماذا ؟؟
هل ما تريده ان يستطيع ال Inside عمل Ping على ال Outside ولا العكس ؟؟؟
اما بالنسبه لل NAT فالكونفجريشن الحاليه تقوم بعمل Static لهوست واحد فقط و هو 172.16.16.3
الكونفجريشن الصحيحه لتجعل الجميع يخرجوا الى الانترنت سيكون كتالى :-
nat (inside) 1 172.16.0.0 255.255.0.0
global (outside) 1 interface
يمكنك استبدال الشبكه 172.16.0.0 باى شبكه تريد عمل نات لها او يمكنك استخدام الامر بهذا الشكل ليسرى على اى اى بى يحاول الخروج الى الانترنت
nat (inside) 1 0.0.0.0 0.0.0.0
global (outside) 1 interface
لو فى اى سوال او مشكله تانيه انا تحت امرك
السلام عليكم ورحمه الله و بركاته
شكرا جدا على مساعدتك ليا بس انا عندي شوية اسئلة مهمة جدا
1- high lvel-security interface can allowed low levl-securtiy interface
يعني بيسمح له ازاي و باية
2 - انا عملت configuration هكتبهالك و هقولك كل حاجة انا عملتها بتاعة اية
################################################## ###################################
1- allow all internet users to browsing dmz webserver
static (dmz,outside) 192.168.10.100 10.10.10.10 netmask 255.255.255.255
_______________________________
access-list IN_OUTSIDE extended permit tcp any host 192.168.10.100 eq www
access-group IN_OUTSIDE in interface outside
################################################## ##########################
2- allow allinside users to connect internet (outside)
nat |(inside) 1 0.0.0.0 0.0.0.0 1
global (outside) 1 interface
_________________________________
access-list IN_INSIDE extended permit tcp any any
access-group IN_INSIDE in interface inside
################################################## ###########################
3- allow all users inside to access dmz webserver
static (dmz,inside) 172.16.16.100 10.10.10.10 netmask 255.255.255.255
______________________________________
access-list DMZ_INSIDE extended permit tcp any host 172.16.16.100 eq www
access-group DMZ_INSIDE in interface inside
اولا :- ياريت حضرتك تقولي اية الغلط بتاعي وياريت تشرحلي يعني اية inbound and outbound
اكتبلي ازاي افتح البنتج منم الداخل للخارجيعني من inside to outside
انا هكتبلك باقي الانترفيسات و الip address
ASA Version 8.0(2)
!
hostname ASAFW
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
description FOR MANAGING ASDM GUI
nameif manag
security-level 50
ip address 192.168.1.1 255.255.255.0
management-only
!
interface Ethernet0/1
description FOR INSIDE TRUSTED NETWORK
nameif inside
security-level 100
ip address 172.16.16.3 255.255.255.0
!
interface Ethernet0/2
description OUTSIDE (ISP_1) UNTRASTED NETWORK
nameif outside
security-level 0
ip address 192.168.10.3 255.255.255.0
!
interface Ethernet0/3
description FOR FAILOVER (ISP_2)
shutdown
nameif outsideR
security-level 0
ip address 175.45.10.3 255.255.255.0
!
interface Ethernet0/4
description FOR SERVERS ONLY
nameif dmz
security-level 50
ip address 10.10.10.10 255.255.255.0
!
interface Ethernet0/5
shutdown
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot config disk0:/.private/startup-config
ftp mode passive
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list IN_OUTSIDE extended permit tcp any host 192.168.10.100 eq www
access-list IN_INSIDE extended permit tcp any any eq www
access-list DMZ_INSIDE extended permit tcp any host 172.16.16.100 eq www
pager lines 24
mtu manag 1500
mtu inside 1500
mtu outside 1500
mtu outsideR 1500
mtu dmz 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (dmz,outside) 192.168.10.100 10.10.10.10 netmask 255.255.255.255
static (dmz,inside) 172.16.16.100 10.10.10.10 netmask 255.255.255.255
access-group IN_INSIDE in interface inside
access-group IN_OUTSIDE in interface outside
route outside 0.0.0.0 0.0.0.0 192.168.10.1 1
route inside 172.10.10.0 255.255.255.0 172.16.16.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 manag
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
!
!
username cisco password ffIRPGpDSOJh9YLq encrypted privilege 15
prompt hostname context
Cryptochecksum:2ba6ddffd46481495800b3b9285f1d18
: end
ASAFW#
و اخيرا جزاك الله كل خير يا باشمهندس شريف
اول حاجه خلينا نتفق على حاجه
طالما انت موجود على انترفيس ال security-level بتاعه عالى زى ال Inside interface مثلا ال sec-lvl بتاعه بيساوى 100 يبقى انت كده تقدر تروح و تعدى من اى انترفيس اخر ال Sec-lvl بتاعه اقل من 100 من غير اى اكسيس لست
يعنى لو انت على ال Inside انترفيس تقدر تعدى من ال Outside انترفيس لان ال sec-lvl بتاعه ال Outside اقل من ال inside
شوف انا هتكبلك الكونفجريشن
1- allow all internet users to browsing dmz webserver
static (dmz,outside) 192.168.10.100 10.10.10.10 netmask 255.255.255.255
_______________________________
access-list IN_OUTSIDE extended permit tcp any host 192.168.10.100 eq www
access-group IN_OUTSIDE in interface outside
################################################## ##########################
2- allow allinside users to connect internet (outside)
nat |(inside) 1 0.0.0.0 0.0.0.0 1
global (outside) 1 interface
_________________________________
access-list IN_INSIDE extended permit tcp any any
access-group IN_INSIDE in interface inside
################################################## ###########################
3- allow all users inside to access dmz webserver
static (dmz,inside) 172.16.16.100 10.10.10.10 netmask 255.255.255.255
______________________________________
access-list IN_INSIDE extended permit tcp any host 172.16.16.100 eq www
اول حاجه انا شايف ان الاكسيس ليست الخاصه بال Inside انترفيس لا فائده منها - الا اذا كنت تريد فرض قيود معينه على المستخدمين
بالنسبه للخطأ اللى انا شايفه هو انك حاولت تطبق اتنين اكسيس لست فى نفس الاتجاه و نفس الانترفيس لذلك يجب ان تكون الثانيه بنفس اسم الاولى
اما البنج فكل اللى هتعمله انك تفتح ال echo على ال Inside
access-list IN_INSIDE extended permit icmp any any echo
و الecho-reply على ال outside
access-list IN_OUTSIDE extended permit icmp any any echo-reply
بالنسبه للفرق بين Inbound و Outbound
Inbound traffic - تدل على اى ترافيك فى اتجاه الدخول - فمثلا لو قلنا ال Inbound traffic التى تاتى على ال Outside انترفيس , نقصد بهذا اى ترافيك تدخل الى هذا الانترفيس و التى ستكون فى هذا المثال هى الانترنت ترافيك
Outbound traffic - تدل على اى ترافيك فى اتجاه الخروج - يعنى مثلا لو قلنا ال Outbound traffic على ال Outside انترفيس فاننا بهذا نقصد اى ترافيك تخرج من ال Outside interface
اتمنى اكون ساعدتك لو محتاج اى شىء تانى فى الكونجريشن اخبرنى و يمكنك اذا احببت اذا كان لديك Puplic IP ارسله لى على الخاص و قم بفتح التلنت عده دقائق و اقوم باعداده لك اذا احببت
بالتوفيق ,,,
اولا السلام عليكم و رحمه الله و بركاته
شكرا جدا على المساعدة الجليلة اللى بتقدمهالي و جزاك الله خير
interface Ethernet0/1 ولكن المشكلة ان بين الانترفيسات اللى انت شايفها مفيش استجابة
description FOR INSIDE TRUSTED NETWORK بمعنى تاني ان و كأن الشبكة بتاعة 172.16.16.0 مش شايفة و مش عارفة الشبكة بتاعة 192.168.10.0
nameif inside و طبعا دة ماثر تاثير كبير على الشبكة بتاعة ال inside لانها مش بتعمل بنج خالص على النترفيس بتاع ال outside
security-level 100
ip address 172.16.16.3 255.255.255.0 بمعنى تاني اني لما بطبق الامر ASA(conf)# trace 192.168.10.3 source 172.16.16.3
بتكون النتيجة 1 * * *
و هكذا 2 * * *
انا مش عارف هل دي مشكلة في الراوتنج والا اية بالظبط
interface Ethernet0/2
description OUTSIDE (ISP_1) UNTRASTED NETWORK
nameif outside
security-level 0
ip address 192.168.10.3 255.255.255.0
طيب انا علشان اقدر اساعدك بشكل كامل ومنظم هطلب منك ثلاثه اشياء :-
1- ال Topology الخاصه بالشبكه و يكون عليها عنواين الاى بى .
2- كل ال Tasks التى تريد تنفيذها .
3- ال running Config بشكل كامل .
لو تعرف تنظم اللى مطلوب ده فى مشاركه واحده بطريقه منظمة ساقوم بارسال ملف يحتوى على الكونفجريشن الذى تحتاجه حسب المتطلبات .
بالتوفيق ,,,
تمام وصلنى كل شىء
سؤال اخير بالنسبه لما تريده
1- all inside users connect to internet
ما هو نوع ما تريد السماح به للخروج الى الانترنت ؟؟ بجانب ال HTTP طبعا
عموما هعدل على الكونفجريشن و ابعتلك نسخه
سوال اخر بخصوص هذا العنوان 192.168.10.100
هل لديك public ip ليستطيع اى الشخص الدخول الى السيرفر عن طريق الانترنت ؟؟
فانا لا ارى اى Nat تم اعداده
حتى استطيع اعداده فما هو ال Public ip الذى تريد ان يتم استخدامه ؟؟
ضوابط المشاركة
المفضلات