CiscoForums.it

Inviato: **lun 03 dic , 2007 10:13 pm**

Salve a tutti,
sono nuovo da queste parti...

ecco la mia situazione:
ho acquistato un CISCO ASA 5510 firewall per proteggere la mia lan in quanto ho la necessità di "sta tranquillo" sapendo che devo abilitare all'esterno alcuni servizi su un server web/sviluppo per la mia attività...

attualmente ho una adsl ALICE BUSINNESS attiva a 8 MB,
l'asa è così sfruttato:

- porta ethernet 0 cavo che arriva dal router alice
- porta ethernet 1 cavo che va ad uno swicth Dlink (100/1000 mb) dove ho collegato tutti i miei client

ho provveduto a fare il setupwizard e fino qui tutto bene...
ora i problemi.

l'asa è configurato in DHCP sull'OUTSIDE
mentre con ip 192.168.1.3 sull' INSIDE

la cosa strana è che navigo solamente dai client verso il router in SSL...
dall'interno non riesco a pingare niente se non l'ASA

qualche aiuto?
grazie

Inviato: **mar 04 dic , 2007 10:14 am**

nessuno riesci aiutarmi?

Inviato: **mar 04 dic , 2007 10:29 am**

se può aiutare...
sono le security policy che non mi convincono

Inviato: **mar 04 dic , 2007 11:59 am**

Serve la config completa: "sh run" da cli

Inviato: **mar 04 dic , 2007 7:22 pm**

Ciao!
grazie per esserti interessato...
come dicevo sono nuovo ma pratico di queste cose...

come faccio "techicamente" a farti avere la config?
fino ad ora ho operato tramite la GUI interface....
grazie mille

Wizard ha scritto:Serve la config completa: "sh run" da cli

Inviato: **mar 04 dic , 2007 7:33 pm**

ho capito via cavo e hyperterminal....
provvedo e ti posto il config

Inviato: **mar 04 dic , 2007 8:03 pm**

enable
Password: *********
ciscoasa# sh run
: Saved
:
ASA Version 7.2(3)
!
hostname ciscoasa
domain-name krescendo
enable password ****************encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.3 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
interface Vlan3
no forward interface Vlan1
nameif dmz
security-level 50
no ip address
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name krescendo
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-523.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.1.4-192.168.1.35 inside
dhcpd enable inside
!

!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:fafc77c2f6ee0a3c41bb57bb9ab69293
: end
ciscoasa#

Inviato: **mer 05 dic , 2007 5:44 pm**

niente?

Inviato: **gio 06 dic , 2007 10:26 am**

Manca la parte di routing sul ASA:

Codice: Seleziona tutto

route outosde 0.0.0.0 0.0.0.0 IP_ROUTER

Inviato: **gio 06 dic , 2007 11:44 am**

nulla da fare non va ancora...
internamente uso questa classe di ip

192.168.1.xxx
il router / getway è 192.168.1.1

Codice: Seleziona tutto

enable
Password: xxxxxxxxxxxxxxxxxxxxxxxxxxxx
ciscoasa# conf t
ciscoasa(config)# sh run
: Saved
:
ASA Version 7.2(3)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password xxxxxxxxxxxxxxxxxxxxxxxxxxxx encrypted
names
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.1.2 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address dhcp setroute
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-523.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.1.3-192.168.1.34 inside
dhcpd enable inside
!

!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:fafc77c2f6ee0a3c41bb57bb9ab69293
: end
ciscoasa(config)#

Inviato: **gio 06 dic , 2007 4:09 pm**

ciao, forse mi sbaglio, ma non vedo attivo nessun filtro sul traffico http in ingresso nel fw, così sembra che il traffico http esce ma è bloccata la risposta in inbound.
prova a configurare una acl che permetta il ritorno dell'http da out verso in e poi magari applica una regola di inspect, fra quelle nello sh run non vedo l'inspect http.

Inviato: **gio 06 dic , 2007 5:07 pm**

mi aiuteresti a comporre questa riga di comando?
per me l'importante è far uscire e entrare il traffico una volta riuscito vado a laavorare tramite la gui per bloccare/autorizzare...

the wolf ha scritto:ciao, forse mi sbaglio, ma non vedo attivo nessun filtro sul traffico http in ingresso nel fw, così sembra che il traffico http esce ma è bloccata la risposta in inbound.
prova a configurare una acl che permetta il ritorno dell'http da out verso in e poi magari applica una regola di inspect, fra quelle nello sh run non vedo l'inspect http.

Inviato: **gio 06 dic , 2007 6:41 pm**

però non ho capito bene una cosa, tu hai necessità di raggiungere un server della rete interna dall'esterno, o no?
Se è così l'ip del server lo devi nattare staticamente e secondo me conviene che alla rete interna dai una classe di indirizzi diversa
da quella fra router e asa (per es una 10.0.0.0), perchè come sta adesso fai nat su indirizzi tutti della stessa rete.
Poi l'int esterna l'hai configurata in dhcp perchè prende l'indirizzo dal router?

per l'acl, vai in conf t:

asa (config)#acc-list HTTP (o il nome che preferisci) permit tcp any ind._rete_interna subnetmask_rete_interna eq http

per applicarla:

asa(config)#access-group HTTP in interface outside

prova, vediamo che succede...

Inviato: **ven 07 dic , 2007 10:30 am**

Ciao Wolf

Ecco la mia situazione:

ho una rete interna con classe 192.168.1.xx
il tutto gestito da un win2003 small businnes server che fa da server DNS, server di sviluppo (siamo una webagency), e altro.
Questo server è fondamentale per la nostra rete, infatti gestisce il tutto, lo stesso però deve essere visibile da fuori perchè appunto essendo server di sviluppo, per far vedere esternamente le lavorazioni (quindi non si tratta di un server web vero e proprio), inoltre questo server è utilizzato pcome ftp perchè il cliente può caricareil materiale all'interno della nostra lan....

quindi se applico una classe di ip differente non rischio che dopo i client interni non vedano il server?

potrei montare 2 schede di rete ? dove una la uso internamente mentre la seconda per l'esterno?

the wolf ha scritto:però non ho capito bene una cosa, tu hai necessità di raggiungere un server della rete interna dall'esterno, o no?
Se è così l'ip del server lo devi nattare staticamente e secondo me conviene che alla rete interna dai una classe di indirizzi diversa
da quella fra router e asa (per es una 10.0.0.0), perchè come sta adesso fai nat su indirizzi tutti della stessa rete.
Poi l'int esterna l'hai configurata in dhcp perchè prende l'indirizzo dal router?

per l'acl, vai in conf t:

asa (config)#acc-list HTTP (o il nome che preferisci) permit tcp any ind._rete_interna subnetmask_rete_interna eq http

per applicarla:

asa(config)#access-group HTTP in interface outside

prova, vediamo che succede...

Inviato: **ven 07 dic , 2007 11:02 am**

Fregatene delle ACL x ora!
Metti a posto il routing come ti avevo già detto:

route outside 0.0.0.0 0.0.0.0 192.168.1.1 1

non può essere una regola valida nella tua situazione!
non puoi avere il router nella stessa classe della lan!

CiscoForums.it

ASA 5510 su router alice

ASA 5510 su router alice

r: