Сообщения без ответов | Активные темы Текущее время: 20 июл 2024, 16:02



Ответить на тему  [ Сообщений: 35 ]  На страницу Пред.  1, 2
NAT для вебсервера в DMZ на ASA 5505 (9.1) 
Автор Сообщение

Зарегистрирован: 13 фев 2012, 15:46
Сообщения: 266
И я сталкивался - если с адресом интерфейса связаны:
Код:
nat (inside,outside) source dynamic OBJ_ALL interface dns

и, к примеру:
Код:
object network webserver
 host 192.168.3.3
object network webserver
 nat (dmz,outside) static interface service tcp www www


Второе срабатывать не будет


21 июн 2013, 14:53
Профиль

Зарегистрирован: 20 июн 2013, 11:29
Сообщения: 16
Откуда: Волгоград
Nikolay_ писал(а):
Это сеть с маской /30
Цитата:
ххх.ххх.71.192 255.255.255.252
Попробуйте убрать временно эти трансляции...
nat (inside,outside) source dynamic OBJ_ALL interface dns
nat (outside,inside) source dynamic Komita_ip interface service komita komita

Особенно первую.
Возможно, у Вас первая трансляция мешает, перепишите ее через объект.

Правило с комитой прибил, как Fedeor выше писал, оно лишнее, без неё комита работает.

А вот когда nat (inside,outside) source dynamic OBJ_ALL interface dns прибил и переписал через объект, то у пол-офиса пропал интернет, пока не поняли почему, за циской ещё керио стоит и на некоторых машинах в браузерах появилась ошибка от керио DNS lookup filed. Причём все дэнээсы пингуются и даже уa.ru по имени пингуется. А время - пятница пол-пятого ) Пришлось срочно ASA reload делать и возвращаться к nat (inside,outside) source dynamic OBJ_ALL interface dns

Спасибо за понимание и помощь. На следующей неделе продолжу, значит буду добиваться, чтобы все трансляции обязательно через объекты были.


21 июн 2013, 15:32
Профиль

Зарегистрирован: 13 фев 2012, 15:46
Сообщения: 266
В моем посте выше ошибка - пары интерфейсов должны быть одинаковыми, чтобы не работало :) (т.е. nat(inside,outside) к примеру в обоих случах)


21 июн 2013, 15:50
Профиль

Зарегистрирован: 20 июн 2013, 11:29
Сообщения: 16
Откуда: Волгоград
Прописал все правила NAT через объекты (глюки с DNS на некоторых машинах исчезли после перезагрузки cisco).

Стало лучше: тест пакет-трасером
packet-tracer input outside tcp 213.5.5.5 12345 X.X.X.X 80 проходит успешно
X - адрес внешнего интерфейса асы outside, он же белый ip провайдера, 213.5.5.5 - случайный адрес.

Ну и обратно тоже успешно проходит, статический нат вроде отрабатывает
packet-tracer input dmz tcp 192.168.3.3 80 213.5.5.5 12345

Собственно, вебсервер извне так и не виден (

Подскажите, как можно увидеть, что его блокирует, при попытке обратиться по внешнему ip из интернета в Real-Time Log Viewer тишина?


24 июн 2013, 14:42
Профиль

Зарегистрирован: 20 июн 2013, 11:29
Сообщения: 16
Откуда: Волгоград
Fedeor писал(а):
Код:

Конкретно для того, чтобы опубликовать www сервис, необходимо и достаточно следующего:
[code]
object network webserver
 host 192.168.3.3

object network webserver
 nat (dmz,outside) static interface service tcp www www

access-list outside_access_in extended permit tcp any object webserver eq www

access-group outside_access_in in interface outside


Всё, этого достаточно для публикации вебсервера, после очередной перезагрузки всё заработало! :) Именно с этими настройками. Почему-то нужно было все правила NAT описать через объекты. Всем спасибо!


24 июн 2013, 15:31
Профиль

Зарегистрирован: 18 июл 2014, 00:49
Сообщения: 9
Приветствую, имею аналогичную проблему, (публикую web доступ к UPS SNMP карте) Тут проблему решили, но у меня почему то так и не виден web сервер извне.

привожу конфиг, если кому не в тягость, подскажите, пожалуйста где косяг..?


Код:
cisco(config)# sh conf
: Saved
: Written by admin at 01:55:20.449 MSK/MDD Fri Jul 18 2014
!
ASA Version 9.0(1)
!
hostname cisco
enable password 3bnoYVYaUplNKOwN encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.25.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 79.99.18.26 255.255.255.248
!
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
object network KAV
 host 192.168.25.12
object network hp21
 host 192.168.25.73
object network AD1
 host 192.168.25.10
object network AD2
 host 192.168.25.11
object network sysadmin
 host 192.168.25.72
object network sip26
 host 79.99.18.26
object service ssh
 service tcp source eq ssh destination eq ssh
object service https_5480
 service tcp source eq 5480 destination eq 5480
object service http
 service tcp source eq www destination eq www
object network obj_any
 subnet 0.0.0.0 0.0.0.0
object network apc_web
 host 192.168.25.23
object-group network flc.servers
 network-object object AD1
 network-object object AD2
 network-object object KAV
object-group network DM_INLINE_NETWORK_1
 group-object flc.servers
 network-object object sysadmin
object-group service rdp tcp
 port-object eq 3389
 port-object eq 8891
object-group service web tcp
 port-object eq www
 port-object eq https
 port-object eq 5480
object-group service DM_INLINE_TCP_1 tcp
 group-object rdp
 port-object eq ssh
 group-object web
access-list 1 standard permit 192.168.25.0 255.255.255.0
access-list inside_access_in extended permit ip object-group DM_INLINE_NETWORK_1 any
access-list inside_access_in extended permit tcp 192.168.25.0 255.255.255.0 any object-group DM_INLINE_TCP_1
access-list inside_access_in extended deny ip any any
access-list outside_access_in extended permit tcp any object sip26 eq ssh
access-list outside_access_in extended permit tcp any object apc_web eq www
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-722.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (inside,outside) source dynamic any interface
!
object network apc_web
 nat (inside,outside) static interface service tcp www www
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 79.99.18.25 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
http server enable
http 192.168.25.0 255.255.255.0 inside
http 0.0.0.0 0.0.0.0 outside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
telnet timeout 5
ssh 192.168.25.0 255.255.255.0 inside
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 30
console timeout 0

dhcpd auto_config outside
!
dhcpd address 192.168.25.5-192.168.25.254 inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
username admin password NB8qfZfu1JB7BsoL encrypted privilege 15
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:063fff4ccc18aa62ebb667019c95b953



18 июл 2014, 00:59
Профиль

Зарегистрирован: 28 мар 2014, 16:05
Сообщения: 90
xeon
Вы построили правило для www сервера через Network Object NAT, а основное правило динамического NAT'а у вас является NAT Before Network Object. Вам же это дело надо построить наоборот.
Удалите:
no nat (inside,outside) source dynamic any interface
object network apc_web
no nat (inside,outside) static interface service tcp www www

Основное правило NAT'а:
object network LAN
subnet 192.168.25.0 255.255.255.0
object network LAN
nat (inside,outside) dynamic interface

Исключение:
object service www
service tcp source eq http destination eq http
nat (inside,outside) source static apc_web interface service www www


p.s. и заодно смените логин и пароль


18 июл 2014, 09:10
Профиль

Зарегистрирован: 18 июл 2014, 00:49
Сообщения: 9
GopherZ писал(а):
xeon
Вы построили правило для www сервера через Network Object NAT, а основное правило динамического NAT'а у вас является NAT Before Network Object. Вам же это дело надо построить наоборот.
Удалите:
no nat (inside,outside) source dynamic any interface
object network apc_web
no nat (inside,outside) static interface service tcp www www

Основное правило NAT'а:
object network LAN
subnet 192.168.25.0 255.255.255.0
object network LAN
nat (inside,outside) dynamic interface

Исключение:
object service www
service tcp source eq http destination eq http
nat (inside,outside) source static apc_web interface service www www


p.s. и заодно смените логин и пароль


GopherZ
Спасибо!

Пароль и логин сменил, изменил конфиг согласно вашему совету, но пришлось кое что дописать чтоб работало.
Ниже приведу только необходимые команды для моего частного случая.
(Публикую web консоль с локальным и внешним портом 5480)

Цитата:
object network vMA
host 192.168.25.14
object service https_5480
service tcp source eq 5480
q
nat (inside,outside) source static vMA interface service https_5480 https_5480
access-list outside_access_in_1 permit tcp any object vMA eq 5480
access-group outside_access_in_1 in interface outside

access-group outside_access_in in interface outside


Основное правило NAT по вашим рекомендация вынес как NATобъект, после NAT правил Публикаций
nat (inside,outside) source dynamic any interface

Я пока слабовато знаю мат часть, не пойму почему правило Публикации чего либо должно быть до Главного правила NAT?

Access List обязательно нужно поместить в Outside
access-group outside_access_in_1 in interface outside
Я так понимаю, при всех последующих публикаций, мне нужно будет тоже их закидывать в Outside
(кстати фокус с объединением объектов не прокатывает, хотя я сравнивал со стандартной публикацией SSH самой cisco)

Кроме того заметил что важно корректно описывать сам порт, который пробрасываю (направление)
object service https_5480
service tcp source eq 5480

Вообщем сильно не ругайте, как все обычно любят писать на форумах, в cisco я новичёк)


19 июл 2014, 19:57
Профиль

Зарегистрирован: 28 мар 2014, 16:05
Сообщения: 90
xeon писал(а):
Я пока слабовато знаю мат часть, не пойму почему правило Публикации чего либо должно быть до Главного правила NAT?

Я б порекомендовал почитать CiscoPress : http://www.ciscopress.com/store/ccnp-se ... 1587142710
Но если только о NAT'е, то хотя бы http://xgu.ru/wiki/Cisco_ASA/NAT и http://www.anticisco.ru/blogs/2011/12/a ... %B8%D0%BB/

Для такого простого случая, как у вас (где только inside и outside), способов выстроить правильный порядок обработки правил куча! Я люблю использовать именно такое комбо (manual nat + auto nat).

Кстати, предлагаю создать отдельный сегмент сети DMZ (security-level 50) и свой веб сервак, а так же все то, что вы хотите сделать доступным из интернета, посадить туда.


21 июл 2014, 07:59
Профиль

Зарегистрирован: 18 июл 2014, 00:49
Сообщения: 9
GopherZ писал(а):
xeon писал(а):
Я пока слабовато знаю мат часть, не пойму почему правило Публикации чего либо должно быть до Главного правила NAT?

Я б порекомендовал почитать CiscoPress : http://www.ciscopress.com/store/ccnp-se ... 1587142710
Но если только о NAT'е, то хотя бы http://xgu.ru/wiki/Cisco_ASA/NAT и http://www.anticisco.ru/blogs/2011/12/a ... %B8%D0%BB/

Для такого простого случая, как у вас (где только inside и outside), способов выстроить правильный порядок обработки правил куча! Я люблю использовать именно такое комбо (manual nat + auto nat).

Кстати, предлагаю создать отдельный сегмент сети DMZ (security-level 50) и свой веб сервак, а так же все то, что вы хотите сделать доступным из интернета, посадить туда.


Спасибо вам за полезные ссылки, буду изучать.
на очереди буду VPN-чик поднимать между Облаком и Офисом(где сам Cisco) и переносить все правила со старой ISA 2004 в офисе.


21 июл 2014, 11:05
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 35 ]  На страницу Пред.  1, 2

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 13


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB