asa 5510-bun-k9 trasparent firewall

[Wizard]

Beh si in effeti ha senso...
Quei comandi sono x l'anti spoofing ma dato che nel trasparent le interfaccie in realtà non hanno IP...

[xanio]

sono riuscito a fare diverse prove, e tutto ha funzionato a dovere, i due server messi di prova sotto il fw, funzionavano perfettamente, erogavano tutti i servizi in maniera regolare.

Visto che i test andavano bene imposto una bella configurazione "definitiva" e implento il tutto sul fw.

Lo inserisco tra il router e la rete da proteggere, ed ecco che non funziona niente, non riesce a fare ping esterno ne interno, non riesco a raggiungere dall'outside i server dns interni.

La cosa strana e che da terminale non riesco a pingare ne il router ne una macchina sotto...non capisco dove sbaglio.

La configurazione è la seguente:

Codice: Seleziona tutto

: Saved
:
ASA Version 8.0(3)6 
!
firewall transparent
hostname fw1
enable password oP92B.XMGqclt9.I encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
name A.B.C.D.3 w2k description Windows 2000 server
name A.B.C.D.5 hp01 description Hp01 BlueQuartz
name A.B.C.D.6 raq6 description Raq 550 Sun Cobalt
name A.B.C.D.8 ufficio3 description Zimbra Ufficio3
name A.B.C.D.12 webby01 description Windows 2003 Server
name A.B.C.D.15 raq6-2 description Raq 550 BlueQuartz
name A.B.C.D.17 dns1 description dns1 bluequartz
name A.B.C.D.18 dns2 description dns2 bluequartz
name A.B.C.D.4 nagios description Raq4 Nagios
!
interface Ethernet0/0
 nameif outside
 security-level 100
!
interface Ethernet0/1
 nameif inside
 security-level 100
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
!
interface Management0/0
 nameif management
 security-level 0
 ip address 10.10.10.2 255.255.255.0 
 management-only
!
ftp mode passive
clock timezone CEST 1
same-security-traffic permit inter-interface
object-group service w2k_service tcp
 port-object eq ftp
 port-object eq www
 port-object eq https
object-group service hp01_service tcp
 port-object eq ftp
 port-object eq smtp
 port-object eq domain
 port-object eq www
 port-object eq 81
 port-object eq pop3
 port-object eq imap4
 port-object eq https
 port-object eq 444
 port-object eq 465
 port-object eq 993
 port-object eq 995
object-group service raq6_service tcp
 port-object eq ftp
 port-object eq smtp
 port-object eq domain
 port-object eq www
 port-object eq 81
 port-object eq pop3
 port-object eq imap4
 port-object eq https
 port-object eq 444
 port-object eq 465
 port-object eq 993
 port-object eq 995
object-group service ufficio3_service tcp
 port-object eq smtp
 port-object eq www
 port-object eq imap4
 port-object eq https
 port-object eq 465
 port-object eq 993
object-group service webby01_service tcp
 port-object eq ftp
 port-object eq www
 port-object eq https
object-group service dns_service tcp
 port-object eq domain
object-group service nagios_service tcp
 port-object eq 1433
object-group network RETE_INTERNA
 network-object host w2k
 network-object host hp01
 network-object host raq6
 network-object host ufficio3
 network-object host webby01
 network-object host dns1
 network-object host dns2

object-group service RETE_INTERNA_SERVIZI
 service-object ip
 service-object udp 
 service-object tcp 
access-list outside-in extended permit tcp host nagios object-group RETE_INTERNA object-group nagios_service 
access-list outside-in extended permit icmp host nagios object-group RETE_INTERNA 
access-list outside-in extended permit tcp any host hp01 object-group hp01_service 
access-list outside-in extended permit tcp any host raq6 object-group raq6_service 
access-list outside-in extended permit tcp any host ufficio3 object-group ufficio3_service 
access-list outside-in extended permit tcp any host webby01 object-group webby01_service 
access-list outside-in extended permit tcp any host dns1 object-group dns_service 
access-list outside-in extended permit tcp any host dns2 object-group dns_service 
access-list outside-in extended permit icmp host A.B.C.D.137 object-group RETE_INTERNA 
access-list outside-in extended permit tcp any host w2k object-group w2k_service 
access-list inside-in extended permit object-group RETE_INTERNA_SERVIZI object-group RETE_INTERNA any 
access-list inside-in extended permit icmp object-group RETE_INTERNA any  
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu management 1500
ip address 10.10.10.2 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
icmp permit any echo-reply outside
icmp permit any echo outside
asdm image disk0:/asdm-603.bin
no asdm history enable
arp timeout 14400
access-group outside-in in interface outside
access-group inside-in in interface inside
route inside 0.0.0.0 0.0.0.0 A.B.C.D.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 10.10.10.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:5135f79d615174c53cf9433399e64224
: end 

dove sbaglio!!!

[xanio]

penso di rispondermi da solo, sperando che la notte abbiamo emesso consiglio.

Ho permesso in entrata il traffico tcp domain verso i miei nameserver, ma non quello udp.

Può essere questo l'errore!!!

Stamattina appena ho 10 minuti faccio una prova e vi faccio sapere.

speriamo bene.

[xanio]

e si avevo proprio ragione...bastava aggiungere in access list il permit per "udp domain".

Una regola in meno e non funzionava niente!!!!

Cmq da una primo test sul campo, sembra funzionare tutto, da domani inizierà il test vero e proprio.

In ogni caso è rimasta una bella configurazione funzionante, disponibile per tutti, ovviamente è una configurazione BASE, mancano regole di audit e un controllo sulla sicurezza.

In ogni caso sono aperto a consigli e critiche .

[xanio]

Ho trovato il primo intoppo, serio....non riesco a fare connessioni sulla porta 465 smtp (tls/ssl) del mio server di posta (sotto asa).

da un port scan risulta closed, ma la regola che permette traffico c'è!

la cosa che non capisco e cosa devo fare, a quanto ho capito non fa passare la risposta del server con la dicitura STARTTLS.

Grazie!

[xanio]

mi rispondo da solo, basta aggiungere questo nel config:

policy-map type inspect esmtp esmtp_map
parameters
allow-tls

e tutto inizia a funzioanre

[Wizard]

Io di solito la inspction su esmtp e smtp le tolgo appunto x nn avere di questi problemi...