我显然没有做正确的事情(思科绝对不是我的专长,对我来说是如此裸露),但是我没有任何运气设置从内部networking到外部的出口过滤,目的是拒绝所有出站stream量保存为也运行DNS,NTP等的HTTP代理(Squid)服务器。
如果我删除所有的ACL规则,它的工作正常:NAT的罚款(双NAT的罚款),我可以浏览网页等
然而,我认为是正确的(我经历了一堆令人困惑的文档,其中一些是错误的版本,因此我在思科土地的困境)似乎并不奏效,虽然不一致。
进行远程logintesting时,我第一次使用它的access-group 。 按CTRL-]转义,再按键,再次运行命令,超时。 删除所有访问组分配,不起作用。 回来validation(正如我input这个)和远程login再次工作。
打开debugging日志logging,显示日志确认数据包被丢弃,但它看起来不正确,我想我可能会将我的规则应用到错误的接口或错误的方向。
以下是一些相关信息:
服务器:192.168.2.5/24内部:192.168.2.0/24外部:10.0.0.254/24(< – testing环境,在我的真实LAN上有IP)。
这是我的configuration的相对片段:
access-list server_out extended permit tcp host 192.168.2.5 any eq www global (outside) 10 interface nat (inside) 10 192.168.2.0 255.255.255.0 access-group server_out in interface inside
再次,几分钟前,我没有访问组线,它的工作。 我也从几台机器上尝试了这个,而192.168.2.0/24上的另一台机器曾经工作过一次或两次(甚至几分钟前), 即使这里没有任何允许规则 ,而且我假设了默认的拒绝规则一旦你创build一个ACL就会适用。
编辑
这里有一些日志logging为您的观赏乐趣 – 这是一个成功的远程login到我的真实LAN上的networking服务器(10.0.0.12):
%ASA-6-305011: Built dynamic TCP translation from inside:192.168.2.5/36097 to outside:10.0.0.254/57787 %ASA-6-302013: Built outbound TCP connection 172 for outside:10.0.0.12/80 (10.0.0.12/80) to inside:192.168.2.5/36097 (10.0.0.254/57787)
这是几秒钟后同样的请求,没有改变configuration:
%ASA-2-106001: Inbound TCP connection denied from 192.168.2.5/36100 to 10.0.0.12/80 flags FIN ACK on interface outside %ASA-2-106001: Inbound TCP connection denied from 192.168.2.5/36101 to 10.0.0.12/80 flags SYN on interface outside
EDIT2
: Saved : ASA Version 8.0(5) ! terminal width 120 hostname some-host enable password ***** encrypted passwd ***** encrypted names ! interface Vlan1 nameif dmz security-level 50 ip address 192.168.1.1 255.255.255.0 ! interface Vlan2 nameif inside security-level 100 ip address 192.168.2.1 255.255.255.0 ! interface Vlan3 nameif outside security-level 0 ip address 10.0.0.254 255.255.255.0 ! interface Ethernet0/0 switchport access vlan 3 ! interface Ethernet0/1 ! interface Ethernet0/2 switchport access vlan 2 ! interface Ethernet0/3 switchport access vlan 2 shutdown ! interface Ethernet0/4 switchport access vlan 2 shutdown ! interface Ethernet0/5 switchport access vlan 2 shutdown ! interface Ethernet0/6 switchport access vlan 2 shutdown ! interface Ethernet0/7 switchport access vlan 2 shutdown ! boot system disk0:/asa805-k8.bin ftp mode passive access-list inside_out extended permit tcp host 192.168.2.5 any eq www pager lines 24 logging enable logging buffered debugging mtu dmz 1500 mtu inside 1500 mtu outside 1500 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 global (outside) 10 interface nat (inside) 10 192.168.2.0 255.255.255.0 access-group inside_out in interface inside route outside 0.0.0.0 0.0.0.0 10.0.0.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global prompt hostname context Cryptochecksum:1234567890 : end
我的开关和/或电缆绝对是古怪的东西:插入机器直接进入e0 / 2,始终如一地工作。 重新接通,间歇。 奇怪的是,日志会显示它显示的是什么,但是。
编辑
是的,环城市,我很惊讶,我甚至可以得到任何数据包。 对聪明人来说,孩子们:closures端口镜像后 ,拔掉电缆。