我有麻烦实施访问列表在我的ASA 5510(8.2)以一种合理的方式对我来说。 我有设备上的每个接口的访问列表。 访问列表通过access-group命令添加到接口。 假设我有这些访问列表 access-group WAN_access_in in interface WAN access-group INTERNAL_access_in in interface INTERNAL access-group Production_access_in in interface PRODUCTION WAN具有安全级别0,内部安全级别100,生产具有安全级别50。 我想要做的是有一个简单的方法来从生产到内部打孔。 这接近是相当容易的,但是那时安全水平的整体概念并不再重要。 然后我不能退出WAN接口。 我需要添加一个任何访问列表,这反过来打开访问完全内部网。 我可以通过为我的内部网发布明确的DENY ACE来解决这个问题,但这听起来很麻烦。 这在实践中是如何完成的? 在iptables中,我会使用这样的逻辑。 如果源代码等于生产子网,则输出接口等于WAN。 接受。
这似乎很简单,但我必须失去一些东西。 我有以下configuration来阻止所有的DNS请求从内部不会去允许的外部DNS服务器。 access-list INSIDE-ACCESS-OUT extended permit udp any object open-dns1 eq domain access-list INSIDE-ACCESS-OUT extended permit udp any object open-dns2 eq domain access-list INSIDE-ACCESS-OUT extended permit tcp any object open-dns1 eq domain access-list INSIDE-ACCESS-OUT extended permit tcp any object open-dns2 eq domain access-list INSIDE-ACCESS-OUT extended deny udp any any eq domain access-list INSIDE-ACCESS-OUT extended deny […]
嗨,我是非常新的思科ASA 5000系列,并有两个接口,我想路由之间,数据networking192.168.69.0/24和语音192.168.70.0 / 24,我已经join,并可以ping相应的网关,当相同的子网,但是如果我连接到数据交换机端口,我不能ping通语音VLAN,反之亦然。 我以为这是与NAT有关的,所以我添加了nat豁免规则,但仍然没有骰子。 我缺乏理解,所以会欣赏书籍或教程网站/video的build议,这将有助于我了解ASA政策。 问候, 克里斯 请在下面find我的configuration: Result of the command: "show running-config" : Saved : ASA Version 8.2(5) ! hostname ciscoasa names ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 switchport access […]
我正在尝试在我们的一些远程位置添加无线function。 我们有ASA5505创build一个IPSEC隧道回到ASA5510。 目前,我们仅使用ASA上3个可用VLAN中的2个VLAN。 我希望将DMZ接口configuration为VLAN3,并将其分配给e0 / 1,并将E2500上的一个LAN端口直接挂接到该端口。 由于我没有使用E2500上的广域网端口,所以应该将其视为一个AP,而不是一个完整的路由器。 这就是说,我正在从ASA专门为无线客户端提供一个小地址池,最终通过E2500进行连接,将ASA作为DHCP服务器。 本质上我想能够pipe理E2500并进行更改,但只有通过E2500连接的客户端才能访问Internet。 有任何想法吗? 可能与ASA和路由器?
我们有固件ASA9.0(1)和ASDM 7.0(2)的Cisco ASA 5505。 它configuration了一个公共IP地址,当试图通过HTTPS为AnyConnect VPN从外部访问它时,我们得到以下日志输出: 6 Nov 12 2012 07:01:40 <client-ip> 51000 <asa-ip> 443 Built inbound TCP connection 2889 for outside:<client-ip>/51000 (<client-ip>/51000) to identity:<asa-ip>/443 (<asa-ip>/443) 6 Nov 12 2012 07:01:40 <client-ip> 50999 <asa-ip> 443 Built inbound TCP connection 2890 for outside:<client-ip>/50999 (<client-ip>/50999) to identity:<asa-ip>/443 (<asa-ip>/443) 6 Nov 12 2012 07:01:40 <client-ip> 51000 <asa-ip> 443 […]
我们有一个ASA 5505,每个外部,内部和两个dmz接口都有一个VLAN设置。 外部接口设置为安全级别0,内部设置为100,两个dmz接口都设置为50。 不幸的是,这个设备并没有按照我所期望的那样从其中一个dmz接口(其他接口被禁用)向外部接口传输stream量。 我期望从更高的安全性到更低的安全性,stream量不应该被隐式ACL所捕获。 但是,数据包跟踪器工具显示这种情况 – 它在步骤2中被隐式ACL阻止。 我添加了一个ACE来允许到外部IP的stream量,并且stream量现在确实stream动。 但是,这不应该被做。 这会造成pipe理负担,定义IP,端口,协议等所有允许的范围。 ASA上的许可证有Security Plus。 显示版本列表: 思科自适应安全设备软件版本8.4(4)设备pipe理器版本6.4(9) 此平台的许可function: 最大物理接口:8永久 VLAN:20个DMZ无限制
我刚刚启动了我的networking。 我希望ASDN能够对我的一些随从进行微小的改动,而无需与我联系。 这说,我试图启用它,并访问它,似乎我错了configuration它。 任何人都可以看到以下configuration有什么问题,我不能通过10.1.10.100访问ASDM? interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! interface Vlan1 nameif inside security-level 100 ip address 10.1.10.100 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address 74.9xx.xx.225 255.255.255.248 ! ftp […]
我试图利用我的思科ASA作为SSH隧道。 我以前使用Linux服务器作为SSH目标时configuration了这个,但是我似乎无法使它与ASA一起工作。 我已经在思科ASA上configuration并启用了SSH,以及可以通过SSH连接到控制台的用户名,但是SSH隧道function不起作用。 例如,在我的个人电脑上,我使用Putty和ASA后面定义的服务器来定义本地隧道。 我应该能够(如果SSH连接到ASA)能够访问服务器。 看腻子的截图。 有没有人遇到过这个? 再次,这是使用我的思科ASA作为SSH隧道,这不是一个端口转发。 -Jim
我有一个ASA(A)和一组公共IP(A1..A6)。 我有另一个服务器S与公共IP(S1)。 我想要所有stream量到A2:22 NAT(转发)到S1:22。 (SSH在这里只是一个例子)如果可能的话,我希望stream量甚至不要触摸内部接口。 (我怎样才能做到这一点? 我试过了: access-list outside_access_in line 26 extended permit tcp any host S1 eq ssh access-list outside_access_in line 26 extended permit tcp any host S1 eq ssh static (outside,outside) A2 S1 netmask 255.255.255.255 tcp 0 0 udp 0 但是,根据数据包追踪器,总是死于外部接口上的隐式传入丢弃规则。 我甚至试图通过使用“放下你所有的裤子”来满足它:任何规则,没有运气。 我知道,这是不够的真正使其工作。 但它可以工作吗?
我有一个WatchGuard XTM33和一个Cisco ASA 5505,目前的networking正在使用思科,我最终希望使用新的IPscheme迁移到WatchGuard。 ASA 192.168.111.1/24 WG 10.0.0.1/23 如果我设置了工作组并将其中一个接口configuration为外部接口,请将默认gw设置为192.168.111.1,但从WG出站的stream量工作在10.0.0.0/23范围内的机器上,但是如果我位于192.168.111.0的计算机上/ 24范围内,我无法达到10.0.0.1(ping,打开端口上的tcp ping等)。 我可能会错过什么?