思科ASA 8.4(1)ADSM 6.4 我正努力从外部将SSH连接转发到我的networking中的服务器上的一个非标准端口。 如果我想把端口2828从外部转发到端口22上的内部特定IP上,命令行会是什么样子? 更新:提供configuration,开始与外部设置标准的SSH端口,因为我无法得到上述工作。 : Saved : ASA Version 8.4(1) ! hostname troll enable password XXXXXXX encrypted passwd XXXXXXX encrypted multicast-routing names ! interface Vlan1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Vlan2 mac-address 0022.6b6e.4165 nameif outside security-level 0 ip address dhcp ! interface Ethernet0/0 switchport access vlan 2 ! […]
我一直在思科ASA挣扎。 如何让一个固定的互联网IP的外部客户端利用这个NAT来实现某个NAT(RDP,SSL或其他)?
我正在从PIX迁移到ASA,PIX有远程用户PPTP。 这不是通过但是PIX的VPNtypes。 ASA甚至支持这个吗? 我一直在努力寻找,但是我发现所有的东西都是为了让PPTP通过。
思科ASA 5505在远程站点,作为Easy VPN客户端连接到总部的ASA 5510。 VPN灯是绿色的, sh crypto isakmp sa显示活动的安全关联。 然而,连接到我们的一些子网是行不通的。 运行show crypto ipsec sa显示了大多数子网中存在IPSEC SA,但不是全部。 毫不奇怪,对于没有SA的子网来说,没有连接可能。 发生这种情况时,运行clear crypto isakmp sa或重新启动远程ASA将恢复IPSEC隧道,并且可能再次访问所有子网。 发生这种情况是间歇性的。 受影响的设备没有configuration更改。 这是我的问题: 什么会导致一个IPSEC SA失败到一个子网,没有closures整个VPN链接? 我可以采取什么措施防止或减轻这些原因? 有什么configuration的ASA会检测到这种情况发生,并自动恢复链接?
我们在ASA和梭子鱼NG之间build立了IPSEC隧道。 隧道是function性的,除了空闲时间非常短暂(几秒钟)之外,它只能从梭子鱼方面提升。 我感到有理由相信,ASA方面是正确configuration(但我是开放的想法,以防万一我错了),但我不知道梭子鱼。 如果有人知道这个设备 – 我们缺less什么? 保持活力在哪里设置? 而且,为什么隧道只能从侧面打开呢? 任何帮助深表感谢。
我们有一个坐在我们的DMZ内的apache实例,它被configuration为将请求代理到我们networking内部的一个NATed tomcat实例。 它工作正常,但然后突然从Apache请求的Tomcat实例停止通过在Apache日志中的以下内容: [错误](70007)指定的超时已过期:ajp_ilink_receive()无法接收标题 调查思科日志查看器显示以下内容: 错误消息: %ASA-6-106015:拒绝来自IP_地址/端口的TCP(无连接)到IP_地址/端口在接口interface_name上标记tcp_flags。 说明自适应安全设备放弃了自适应安全设备连接表中没有关联连接的TCP数据包。 自适应安全设备在数据包中查找SYN标志,这表示build立新连接的请求。 如果SYN标志未设置,并且没有现有的连接,则自适应安全设备会丢弃该数据包。 build议的操作除非自适应安全设备收到大量的这些无效的TCP数据包,否则不需要。 如果是这种情况,请将数据包跟踪到源,并确定这些数据包发送的原因。 所有机器都使用VMware进行虚拟化,默认情况下,机器一直使用Intel E1000模拟NIC。 我们的networkingpipe理员已经改变了这个VMXNET3驱动程序,试图纠正这个问题,我们只能等待,看看问题是否持续,因为这是一个间歇性的问题。 还有别的可能导致这个问题吗? 这不是我们遇到类似问题的第一个服务。 我们的apache主机运行Ubuntu 11.10,内核版本为3.0.0-17-server。 我们在运行内核2.6.18-308.16.1.el5的RHEL5(5.8)上也有这个问题,这台机器也有E1000网卡。 注意 :我不是networkingpipe理员,是负责这些系统的软件架构师和分析程序员。
当我添加ICMP允许内部/外部接口互联网连接死亡。 有谁知道为什么发生这种情况? 我发现这种行为不仅发生在ICMP上。
我是ASA的新手,想知道是否在已build立的VPN隧道的现有ASA上重新生成密钥可能会对隧道产生负面影响。 想要重新生成encryption密钥的原因是我可以使版本2 SSH启用(当前版本1由于使用512位被启用)。 我打算使用至less1024位,但担心我会影响不仅仅是SSH。
考虑在我们的networking集群前为我们的互联网边缘思科ASA(5500-X)防火墙。 目前,我们使用iptables的Linux机器。 日志分析系统检测对WordPress博客的暴力攻击,论坛垃圾邮件,黑客攻击等等。 非法活动将导致有问题的IP地址短暂的阻塞。 然而,被阻止的IP列表大约有30,000个IPv4地址。 我们可以使用API或类似的方法将这些加载到Cisco 5500-X中,并且可以处理多less个IP地址/规则? 我们目前使用ipset(一个哈希表)来处理大量的IP块。 谢谢!
为了防止IP源地址欺骗(RFC 2827),我在思科ASA 5505上启用了反向path过滤(RPF)。 拓扑结构是aprox。 喜欢这个。 每个网段都有自己的IPv4子网和IPv6子网。 宾客 vlan 40 | | vlan 2 | vlan 10 外面——— ASA ——–里面 | | vlan 30 | DMZ 我已经启用了这样的RPF: ip verify reverse-path interface outside ip verify reverse-path interface inside ip verify reverse-path interface guests ip verify reverse-path interface dmz 在外部界面上,我看到有些东西被RPF阻止,如: Feb 20 2014 11:25:06: %ASA-1-106021: Deny ICMP reverse […]