|
NAT для вебсервера в DMZ на ASA 5505 (9.1)
Автор |
Сообщение |
Fedeor
Зарегистрирован: 13 фев 2012, 15:46 Сообщения: 266
|
И я сталкивался - если с адресом интерфейса связаны: Код: nat (inside,outside) source dynamic OBJ_ALL interface dns и, к примеру: Код: object network webserver host 192.168.3.3 object network webserver nat (dmz,outside) static interface service tcp www www Второе срабатывать не будет
|
21 июн 2013, 14:53 |
|
|
aequit
Зарегистрирован: 20 июн 2013, 11:29 Сообщения: 16 Откуда: Волгоград
|
Nikolay_ писал(а): Это сеть с маской /30 Цитата: ххх.ххх.71.192 255.255.255.252 Попробуйте убрать временно эти трансляции... nat (inside,outside) source dynamic OBJ_ALL interface dnsnat (outside,inside) source dynamic Komita_ip interface service komita komita Особенно первую. Возможно, у Вас первая трансляция мешает, перепишите ее через объект. Правило с комитой прибил, как Fedeor выше писал, оно лишнее, без неё комита работает. А вот когда nat (inside,outside) source dynamic OBJ_ALL interface dns прибил и переписал через объект, то у пол-офиса пропал интернет, пока не поняли почему, за циской ещё керио стоит и на некоторых машинах в браузерах появилась ошибка от керио DNS lookup filed. Причём все дэнээсы пингуются и даже уa.ru по имени пингуется. А время - пятница пол-пятого ) Пришлось срочно ASA reload делать и возвращаться к nat (inside,outside) source dynamic OBJ_ALL interface dns Спасибо за понимание и помощь. На следующей неделе продолжу, значит буду добиваться, чтобы все трансляции обязательно через объекты были.
|
21 июн 2013, 15:32 |
|
|
Fedeor
Зарегистрирован: 13 фев 2012, 15:46 Сообщения: 266
|
В моем посте выше ошибка - пары интерфейсов должны быть одинаковыми, чтобы не работало (т.е. nat(inside,outside) к примеру в обоих случах)
|
21 июн 2013, 15:50 |
|
|
aequit
Зарегистрирован: 20 июн 2013, 11:29 Сообщения: 16 Откуда: Волгоград
|
Прописал все правила NAT через объекты (глюки с DNS на некоторых машинах исчезли после перезагрузки cisco).
Стало лучше: тест пакет-трасером packet-tracer input outside tcp 213.5.5.5 12345 X.X.X.X 80 проходит успешно X - адрес внешнего интерфейса асы outside, он же белый ip провайдера, 213.5.5.5 - случайный адрес.
Ну и обратно тоже успешно проходит, статический нат вроде отрабатывает packet-tracer input dmz tcp 192.168.3.3 80 213.5.5.5 12345
Собственно, вебсервер извне так и не виден (
Подскажите, как можно увидеть, что его блокирует, при попытке обратиться по внешнему ip из интернета в Real-Time Log Viewer тишина?
|
24 июн 2013, 14:42 |
|
|
aequit
Зарегистрирован: 20 июн 2013, 11:29 Сообщения: 16 Откуда: Волгоград
|
Fedeor писал(а): Код: Конкретно для того, чтобы опубликовать www сервис, необходимо и достаточно следующего: [code] object network webserver host 192.168.3.3
object network webserver nat (dmz,outside) static interface service tcp www www
access-list outside_access_in extended permit tcp any object webserver eq www
access-group outside_access_in in interface outside
Всё, этого достаточно для публикации вебсервера, после очередной перезагрузки всё заработало! Именно с этими настройками. Почему-то нужно было все правила NAT описать через объекты. Всем спасибо!
|
24 июн 2013, 15:31 |
|
|
xeon
Зарегистрирован: 18 июл 2014, 00:49 Сообщения: 9
|
Приветствую, имею аналогичную проблему, (публикую web доступ к UPS SNMP карте) Тут проблему решили, но у меня почему то так и не виден web сервер извне.
привожу конфиг, если кому не в тягость, подскажите, пожалуйста где косяг..?Код: cisco(config)# sh conf : Saved : Written by admin at 01:55:20.449 MSK/MDD Fri Jul 18 2014 ! ASA Version 9.0(1) ! hostname cisco enable password 3bnoYVYaUplNKOwN encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! interface Vlan1 nameif inside security-level 100 ip address 192.168.25.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address 79.99.18.26 255.255.255.248 ! ftp mode passive clock timezone MSK/MSD 3 clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00 object network KAV host 192.168.25.12 object network hp21 host 192.168.25.73 object network AD1 host 192.168.25.10 object network AD2 host 192.168.25.11 object network sysadmin host 192.168.25.72 object network sip26 host 79.99.18.26 object service ssh service tcp source eq ssh destination eq ssh object service https_5480 service tcp source eq 5480 destination eq 5480 object service http service tcp source eq www destination eq www object network obj_any subnet 0.0.0.0 0.0.0.0 object network apc_web host 192.168.25.23 object-group network flc.servers network-object object AD1 network-object object AD2 network-object object KAV object-group network DM_INLINE_NETWORK_1 group-object flc.servers network-object object sysadmin object-group service rdp tcp port-object eq 3389 port-object eq 8891 object-group service web tcp port-object eq www port-object eq https port-object eq 5480 object-group service DM_INLINE_TCP_1 tcp group-object rdp port-object eq ssh group-object web access-list 1 standard permit 192.168.25.0 255.255.255.0 access-list inside_access_in extended permit ip object-group DM_INLINE_NETWORK_1 any access-list inside_access_in extended permit tcp 192.168.25.0 255.255.255.0 any object-group DM_INLINE_TCP_1 access-list inside_access_in extended deny ip any any access-list outside_access_in extended permit tcp any object sip26 eq ssh access-list outside_access_in extended permit tcp any object apc_web eq www pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-722.bin no asdm history enable arp timeout 14400 no arp permit-nonconnected nat (inside,outside) source dynamic any interface ! object network apc_web nat (inside,outside) static interface service tcp www www access-group inside_access_in in interface inside access-group outside_access_in in interface outside route outside 0.0.0.0 0.0.0.0 79.99.18.25 1 timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy user-identity default-domain LOCAL aaa authentication ssh console LOCAL http server enable http 192.168.25.0 255.255.255.0 inside http 0.0.0.0 0.0.0.0 outside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart crypto ipsec security-association pmtu-aging infinite crypto ca trustpool policy telnet timeout 5 ssh 192.168.25.0 255.255.255.0 inside ssh 0.0.0.0 0.0.0.0 outside ssh timeout 30 console timeout 0
dhcpd auto_config outside ! dhcpd address 192.168.25.5-192.168.25.254 inside ! threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept username admin password NB8qfZfu1JB7BsoL encrypted privilege 15 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options ! service-policy global_policy global prompt hostname context no call-home reporting anonymous Cryptochecksum:063fff4ccc18aa62ebb667019c95b953
|
18 июл 2014, 00:59 |
|
|
GopherZ
Зарегистрирован: 28 мар 2014, 16:05 Сообщения: 90
|
xeon Вы построили правило для www сервера через Network Object NAT, а основное правило динамического NAT'а у вас является NAT Before Network Object. Вам же это дело надо построить наоборот. Удалите: no nat (inside,outside) source dynamic any interface object network apc_web no nat (inside,outside) static interface service tcp www www
Основное правило NAT'а: object network LAN subnet 192.168.25.0 255.255.255.0 object network LAN nat (inside,outside) dynamic interface
Исключение: object service www service tcp source eq http destination eq http nat (inside,outside) source static apc_web interface service www www
p.s. и заодно смените логин и пароль
|
18 июл 2014, 09:10 |
|
|
xeon
Зарегистрирован: 18 июл 2014, 00:49 Сообщения: 9
|
GopherZ писал(а): xeon Вы построили правило для www сервера через Network Object NAT, а основное правило динамического NAT'а у вас является NAT Before Network Object. Вам же это дело надо построить наоборот. Удалите: no nat (inside,outside) source dynamic any interface object network apc_web no nat (inside,outside) static interface service tcp www www
Основное правило NAT'а: object network LAN subnet 192.168.25.0 255.255.255.0 object network LAN nat (inside,outside) dynamic interface
Исключение: object service www service tcp source eq http destination eq http nat (inside,outside) source static apc_web interface service www www
p.s. и заодно смените логин и пароль GopherZСпасибо! Пароль и логин сменил, изменил конфиг согласно вашему совету, но пришлось кое что дописать чтоб работало. Ниже приведу только необходимые команды для моего частного случая. (Публикую web консоль с локальным и внешним портом 5480) Цитата: object network vMA host 192.168.25.14 object service https_5480 service tcp source eq 5480 q nat (inside,outside) source static vMA interface service https_5480 https_5480 access-list outside_access_in_1 permit tcp any object vMA eq 5480 access-group outside_access_in_1 in interface outside
access-group outside_access_in in interface outside
Основное правило NAT по вашим рекомендация вынес как NATобъект, после NAT правил Публикаций nat (inside,outside) source dynamic any interface Я пока слабовато знаю мат часть, не пойму почему правило Публикации чего либо должно быть до Главного правила NAT? Access List обязательно нужно поместить в Outside access-group outside_access_in_1 in interface outside Я так понимаю, при всех последующих публикаций, мне нужно будет тоже их закидывать в Outside (кстати фокус с объединением объектов не прокатывает, хотя я сравнивал со стандартной публикацией SSH самой cisco) Кроме того заметил что важно корректно описывать сам порт, который пробрасываю (направление) object service https_5480 service tcp source eq 5480 Вообщем сильно не ругайте, как все обычно любят писать на форумах, в cisco я новичёк)
|
19 июл 2014, 19:57 |
|
|
GopherZ
Зарегистрирован: 28 мар 2014, 16:05 Сообщения: 90
|
xeon писал(а): Я пока слабовато знаю мат часть, не пойму почему правило Публикации чего либо должно быть до Главного правила NAT?
Я б порекомендовал почитать CiscoPress : http://www.ciscopress.com/store/ccnp-se ... 1587142710Но если только о NAT'е, то хотя бы http://xgu.ru/wiki/Cisco_ASA/NAT и http://www.anticisco.ru/blogs/2011/12/a ... %B8%D0%BB/Для такого простого случая, как у вас (где только inside и outside), способов выстроить правильный порядок обработки правил куча! Я люблю использовать именно такое комбо (manual nat + auto nat). Кстати, предлагаю создать отдельный сегмент сети DMZ (security-level 50) и свой веб сервак, а так же все то, что вы хотите сделать доступным из интернета, посадить туда.
|
21 июл 2014, 07:59 |
|
|
xeon
Зарегистрирован: 18 июл 2014, 00:49 Сообщения: 9
|
GopherZ писал(а): xeon писал(а): Я пока слабовато знаю мат часть, не пойму почему правило Публикации чего либо должно быть до Главного правила NAT?
Я б порекомендовал почитать CiscoPress : http://www.ciscopress.com/store/ccnp-se ... 1587142710Но если только о NAT'е, то хотя бы http://xgu.ru/wiki/Cisco_ASA/NAT и http://www.anticisco.ru/blogs/2011/12/a ... %B8%D0%BB/Для такого простого случая, как у вас (где только inside и outside), способов выстроить правильный порядок обработки правил куча! Я люблю использовать именно такое комбо (manual nat + auto nat). Кстати, предлагаю создать отдельный сегмент сети DMZ (security-level 50) и свой веб сервак, а так же все то, что вы хотите сделать доступным из интернета, посадить туда. Спасибо вам за полезные ссылки, буду изучать. на очереди буду VPN-чик поднимать между Облаком и Офисом(где сам Cisco) и переносить все правила со старой ISA 2004 в офисе.
|
21 июл 2014, 11:05 |
|
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: Google [Bot] и гости: 64 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|