 |
NAT для вебсервера в DMZ на ASA 5505 (9.1)
| Автор |
Сообщение |
|
Fedeor
Зарегистрирован: 13 фев 2012, 15:46
Сообщения: 266
|
И я сталкивался - если с адресом интерфейса связаны: Код: nat (inside,outside) source dynamic OBJ_ALL interface dns и, к примеру: Код: object network webserver
host 192.168.3.3
object network webserver
nat (dmz,outside) static interface service tcp www www Второе срабатывать не будет
|
| 21 июн 2013, 14:53 |
|
|
|
aequit
Зарегистрирован: 20 июн 2013, 11:29
Сообщения: 16
Откуда: Волгоград
|
Nikolay_ писал(а): Это сеть с маской /30 Цитата: ххх.ххх.71.192 255.255.255.252 Попробуйте убрать временно эти трансляции... nat (inside,outside) source dynamic OBJ_ALL interface dnsnat (outside,inside) source dynamic Komita_ip interface service komita komita Особенно первую. Возможно, у Вас первая трансляция мешает, перепишите ее через объект. Правило с комитой прибил, как Fedeor выше писал, оно лишнее, без неё комита работает. А вот когда nat (inside,outside) source dynamic OBJ_ALL interface dns прибил и переписал через объект, то у пол-офиса пропал интернет, пока не поняли почему, за циской ещё керио стоит и на некоторых машинах в браузерах появилась ошибка от керио DNS lookup filed. Причём все дэнээсы пингуются и даже уa.ru по имени пингуется. А время - пятница пол-пятого ) Пришлось срочно ASA reload делать и возвращаться к nat (inside,outside) source dynamic OBJ_ALL interface dns Спасибо за понимание и помощь. На следующей неделе продолжу, значит буду добиваться, чтобы все трансляции обязательно через объекты были.
|
| 21 июн 2013, 15:32 |
|
|
|
Fedeor
Зарегистрирован: 13 фев 2012, 15:46
Сообщения: 266
|
В моем посте выше ошибка - пары интерфейсов должны быть одинаковыми, чтобы не работало  (т.е. nat(inside,outside) к примеру в обоих случах)
|
| 21 июн 2013, 15:50 |
|
|
|
aequit
Зарегистрирован: 20 июн 2013, 11:29
Сообщения: 16
Откуда: Волгоград
|
Прописал все правила NAT через объекты (глюки с DNS на некоторых машинах исчезли после перезагрузки cisco).
Стало лучше: тест пакет-трасером
packet-tracer input outside tcp 213.5.5.5 12345 X.X.X.X 80 проходит успешно
X - адрес внешнего интерфейса асы outside, он же белый ip провайдера, 213.5.5.5 - случайный адрес.
Ну и обратно тоже успешно проходит, статический нат вроде отрабатывает
packet-tracer input dmz tcp 192.168.3.3 80 213.5.5.5 12345
Собственно, вебсервер извне так и не виден (
Подскажите, как можно увидеть, что его блокирует, при попытке обратиться по внешнему ip из интернета в Real-Time Log Viewer тишина?
|
| 24 июн 2013, 14:42 |
|
|
|
aequit
Зарегистрирован: 20 июн 2013, 11:29
Сообщения: 16
Откуда: Волгоград
|
Fedeor писал(а): Код:
Конкретно для того, чтобы опубликовать www сервис, необходимо и достаточно следующего:
[code]
object network webserver
host 192.168.3.3
object network webserver
nat (dmz,outside) static interface service tcp www www
access-list outside_access_in extended permit tcp any object webserver eq www
access-group outside_access_in in interface outside
Всё, этого достаточно для публикации вебсервера, после очередной перезагрузки всё заработало! Именно с этими настройками. Почему-то нужно было все правила NAT описать через объекты. Всем спасибо!
|
| 24 июн 2013, 15:31 |
|
|
|
xeon
Зарегистрирован: 18 июл 2014, 00:49
Сообщения: 9
|
Приветствую, имею аналогичную проблему, (публикую web доступ к UPS SNMP карте) Тут проблему решили, но у меня почему то так и не виден web сервер извне.
привожу конфиг, если кому не в тягость, подскажите, пожалуйста где косяг..?Код: cisco(config)# sh conf
: Saved
: Written by admin at 01:55:20.449 MSK/MDD Fri Jul 18 2014
!
ASA Version 9.0(1)
!
hostname cisco
enable password 3bnoYVYaUplNKOwN encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.25.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 79.99.18.26 255.255.255.248
!
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
object network KAV
host 192.168.25.12
object network hp21
host 192.168.25.73
object network AD1
host 192.168.25.10
object network AD2
host 192.168.25.11
object network sysadmin
host 192.168.25.72
object network sip26
host 79.99.18.26
object service ssh
service tcp source eq ssh destination eq ssh
object service https_5480
service tcp source eq 5480 destination eq 5480
object service http
service tcp source eq www destination eq www
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network apc_web
host 192.168.25.23
object-group network flc.servers
network-object object AD1
network-object object AD2
network-object object KAV
object-group network DM_INLINE_NETWORK_1
group-object flc.servers
network-object object sysadmin
object-group service rdp tcp
port-object eq 3389
port-object eq 8891
object-group service web tcp
port-object eq www
port-object eq https
port-object eq 5480
object-group service DM_INLINE_TCP_1 tcp
group-object rdp
port-object eq ssh
group-object web
access-list 1 standard permit 192.168.25.0 255.255.255.0
access-list inside_access_in extended permit ip object-group DM_INLINE_NETWORK_1 any
access-list inside_access_in extended permit tcp 192.168.25.0 255.255.255.0 any object-group DM_INLINE_TCP_1
access-list inside_access_in extended deny ip any any
access-list outside_access_in extended permit tcp any object sip26 eq ssh
access-list outside_access_in extended permit tcp any object apc_web eq www
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-722.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (inside,outside) source dynamic any interface
!
object network apc_web
nat (inside,outside) static interface service tcp www www
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 79.99.18.25 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
http server enable
http 192.168.25.0 255.255.255.0 inside
http 0.0.0.0 0.0.0.0 outside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
telnet timeout 5
ssh 192.168.25.0 255.255.255.0 inside
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 30
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.25.5-192.168.25.254 inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
username admin password NB8qfZfu1JB7BsoL encrypted privilege 15
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:063fff4ccc18aa62ebb667019c95b953
|
| 18 июл 2014, 00:59 |
|
|
|
GopherZ
Зарегистрирован: 28 мар 2014, 16:05
Сообщения: 90
|
xeon
Вы построили правило для www сервера через Network Object NAT, а основное правило динамического NAT'а у вас является NAT Before Network Object. Вам же это дело надо построить наоборот.
Удалите:
no nat (inside,outside) source dynamic any interface
object network apc_web
no nat (inside,outside) static interface service tcp www www
Основное правило NAT'а:
object network LAN
subnet 192.168.25.0 255.255.255.0
object network LAN
nat (inside,outside) dynamic interface
Исключение:
object service www
service tcp source eq http destination eq http
nat (inside,outside) source static apc_web interface service www www
p.s. и заодно смените логин и пароль
|
| 18 июл 2014, 09:10 |
|
|
|
xeon
Зарегистрирован: 18 июл 2014, 00:49
Сообщения: 9
|
GopherZ писал(а): xeon
Вы построили правило для www сервера через Network Object NAT, а основное правило динамического NAT'а у вас является NAT Before Network Object. Вам же это дело надо построить наоборот.
Удалите:
no nat (inside,outside) source dynamic any interface
object network apc_web
no nat (inside,outside) static interface service tcp www www
Основное правило NAT'а:
object network LAN
subnet 192.168.25.0 255.255.255.0
object network LAN
nat (inside,outside) dynamic interface
Исключение:
object service www
service tcp source eq http destination eq http
nat (inside,outside) source static apc_web interface service www www
p.s. и заодно смените логин и пароль Спасибо! Пароль и логин сменил, изменил конфиг согласно вашему совету, но пришлось кое что дописать чтоб работало. Ниже приведу только необходимые команды для моего частного случая. (Публикую web консоль с локальным и внешним портом 5480) Цитата: object network vMA
host 192.168.25.14
object service https_5480
service tcp source eq 5480
q
nat (inside,outside) source static vMA interface service https_5480 https_5480
access-list outside_access_in_1 permit tcp any object vMA eq 5480
access-group outside_access_in_1 in interface outside
access-group outside_access_in in interface outside
Основное правило NAT по вашим рекомендация вынес как NATобъект, после NAT правил Публикаций nat (inside,outside) source dynamic any interface Я пока слабовато знаю мат часть, не пойму почему правило Публикации чего либо должно быть до Главного правила NAT? Access List обязательно нужно поместить в Outside access-group outside_access_in_1 in interface outside Я так понимаю, при всех последующих публикаций, мне нужно будет тоже их закидывать в Outside (кстати фокус с объединением объектов не прокатывает, хотя я сравнивал со стандартной публикацией SSH самой cisco) Кроме того заметил что важно корректно описывать сам порт, который пробрасываю (направление) object service https_5480 service tcp source eq 5480 Вообщем сильно не ругайте, как все обычно любят писать на форумах, в cisco я новичёк)
|
| 19 июл 2014, 19:57 |
|
|
|
GopherZ
Зарегистрирован: 28 мар 2014, 16:05
Сообщения: 90
|
xeon писал(а): Я пока слабовато знаю мат часть, не пойму почему правило Публикации чего либо должно быть до Главного правила NAT?
Я б порекомендовал почитать CiscoPress : http://www.ciscopress.com/store/ccnp-se ... 1587142710Но если только о NAT'е, то хотя бы http://xgu.ru/wiki/Cisco_ASA/NAT и http://www.anticisco.ru/blogs/2011/12/a ... %B8%D0%BB/Для такого простого случая, как у вас (где только inside и outside), способов выстроить правильный порядок обработки правил куча! Я люблю использовать именно такое комбо (manual nat + auto nat). Кстати, предлагаю создать отдельный сегмент сети DMZ (security-level 50) и свой веб сервак, а так же все то, что вы хотите сделать доступным из интернета, посадить туда.
|
| 21 июл 2014, 07:59 |
|
|
|
xeon
Зарегистрирован: 18 июл 2014, 00:49
Сообщения: 9
|
GopherZ писал(а): xeon писал(а): Я пока слабовато знаю мат часть, не пойму почему правило Публикации чего либо должно быть до Главного правила NAT?
Я б порекомендовал почитать CiscoPress : http://www.ciscopress.com/store/ccnp-se ... 1587142710Но если только о NAT'е, то хотя бы http://xgu.ru/wiki/Cisco_ASA/NAT и http://www.anticisco.ru/blogs/2011/12/a ... %B8%D0%BB/Для такого простого случая, как у вас (где только inside и outside), способов выстроить правильный порядок обработки правил куча! Я люблю использовать именно такое комбо (manual nat + auto nat). Кстати, предлагаю создать отдельный сегмент сети DMZ (security-level 50) и свой веб сервак, а так же все то, что вы хотите сделать доступным из интернета, посадить туда. Спасибо вам за полезные ссылки, буду изучать. на очереди буду VPN-чик поднимать между Облаком и Офисом(где сам Cisco) и переносить все правила со старой ISA 2004 в офисе.
|
| 21 июл 2014, 11:05 |
|
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: Google [Bot] и гости: 64 |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения
|
|
|
